El fraude de CEO es un tipo de ataque de phishing directo en el que un hacker se hace pasar por un CEO por correo electrónico y persuade a una víctima para que realice una transacción, generalmente financiera. Uno de los ataques de correo electrónico más costosos, el fraude de CEO es una forma de compromiso de correo electrónico empresarial, que costó a las empresas estadounidenses 1 1.7 mil millones en 2019.
El fraude de CEO puede ir desde estafas con tarjetas de regalo hasta fraude electrónico, con millones de dólares que se enrutan a la cuenta bancaria de un hacker, a menudo mucho antes de que la empresa se dé cuenta de lo que ha salido mal. Para aumentar sus posibilidades de éxito, los hackers emplean una serie de tácticas, algunas de ellas técnicas, pero sobre todo de manipulación psicológica.
Aplicar presión
Las estafas de tarjetas de regalo se encuentran entre las más simples de ejecutar y las más difíciles de rastrear. Esto los convierte en uno de los ataques de spear phishing más extendidos en la naturaleza y que ofrece un retorno de la inversión inmediato.
Haciéndose pasar por un CEO, un hacker generalmente afirma que está en una reunión y necesita comprar urgentemente tarjetas de regalo para un cliente. A menudo, el hacker afirma que las tarjetas de regalo son una sorpresa para los empleados, manipulando a la víctima para que mantenga la solicitud en secreto. En la mente de la víctima, no llegar podría resultar en vergüenza o decepción para el CEO. Esto crea una presión intensa para la víctima.
Los ataques de compromiso de correo electrónico empresarial más exitosos cuentan con correos electrónicos de phishing dirigidos cuidadosamente diseñados. Pero lo que realmente los hace exitosos es la identidad y la influencia del supuesto remitente. El usuario promedio podría pensarlo dos veces antes de comprar tarjetas de regalo para John en contabilidad, pero si la solicitud proviene del CEO, es más probable que la víctima responda y sea más rápida.
Muchas víctimas de fraude de CEO tenían poco o ningún contacto con el CEO. Es fácil culpar a las víctimas en estos casos y decir que deberían haberlo sabido mejor. En realidad, hace que la víctima sea más susceptible al fraude porque el correo electrónico la atrapa con la guardia baja. Cuando la solicitud financiera es la primera comunicación entre la víctima y el CEO, la víctima no solo sentirá presión, sino también un deseo de complacer.
Muchas víctimas no están acostumbradas a comunicarse con el CEO. No están familiarizados con el estilo y los hábitos de comunicación del CEO, lo que el CEO diría o no diría o haría. Es posible que el CEO real nunca se involucre en tal conversación o haga tal solicitud, pero la víctima no lo sabe, y le da al hacker una ventaja.
Una táctica común en ingeniería social, los pretextos abren una línea de comunicación entre el hacker y la víctima, facilitando a la víctima la solicitud. También permite que el hacker establezca expectativas (no se lo diga a nadie; es una sorpresa) y sirve como recopilación de inteligencia, proporcionando al hacker información adicional que podría ayudarlo a tener éxito.
En algunos casos de fraude de CEO, un hacker enviará un correo electrónico a la víctima varias veces antes de la solicitud final, verificando su progreso, asegurándose de que nadie más esté al tanto de la transacción y aplicando más presión hasta que la transacción se haya completado.
Enviar correos electrónicos desde dispositivos móviles
Los CEOs son personas ocupadas. No es inusual recibir un correo electrónico de un ejecutivo que está fuera de la oficina, en un evento, visitando a un cliente o incluso fuera del país. El envío de correos electrónicos de phishing a través de un dispositivo móvil ayuda al hacker a crear la impresión de que el CEO está lejos de su oficina. Esto beneficia al hacker de varias maneras.
En primer lugar, ayuda al hacker a crear la ilusión de que el CEO está fuera de su elemento, posiblemente sin su computadora portátil, y necesita asistencia. En segundo lugar, le da al hacker margen de maniobra para cometer errores con respecto al correo electrónico: los errores de gramática y ortografía son comunes y perdonables (hasta cierto punto) en los dispositivos móviles.
Finalmente, aumenta las posibilidades de que el correo electrónico falsificado se pase por alto. Si el hacker falsifica el nombre del CEO pero no el dominio corporativo, es razonable que la víctima crea que el CEO cometió un error y envió el correo electrónico a través de una cuenta personal.
Falsificaciones profundas
Relativamente nuevo en el ámbito del compromiso de correo electrónico empresarial, las falsificaciones profundas han demostrado ser altamente efectivas y extremadamente costosas. Mejor aún (para el hacker), hay una variedad de herramientas basadas en inteligencia artificial en el mercado que un hacker puede usar para imitar la voz de un CEO.
Según el Wall Street Journal, en 2019, un CEO de una compañía de energía del Reino Unido recibió una llamada del director ejecutivo de la empresa matriz alemana de la compañía, solo que no era su director ejecutivo. Era un hacker usando un software falso profundo, imitando la voz del director ejecutivo en Alemania y solicitando un pago por transferencia bancaria a un proveedor. El resultado fue un pago de 2 243,000 al hacker, que pronto volvió a llamar pidiendo más, lo que alertó al CEO.
El software falso profundo es abundante, efectivo y barato, y las empresas no tienen respuesta para ello. Según Computer Weekly, el 77 por ciento de los tomadores de decisiones de ciberseguridad están preocupados por las falsificaciones profundas, pero solo el 28 por ciento tiene un plan para defenderse de ellas.
Prevención del fraude de CEO
La tecnología anti-spear phishing ha recorrido un largo camino, pero la naturaleza psicológica del fraude de CEO requiere una combinación de medidas preventivas:
Capacitación de usuarios: Capacite a sus usuarios para identificar diferentes tipos de compromiso de correo electrónico empresarial, así como técnicas de ingeniería social. Vaya más allá de la capacitación periódica y proporcione capacitación sobre la marcha cuando los usuarios abran o respondan correos electrónicos maliciosos.
Procesos de validación: Implementar un proceso de validación de solicitudes de transacciones financieras. Los ejemplos incluyen validar solicitudes en persona o por teléfono después de recibir una solicitud financiera por correo electrónico.Tecnología
: Actualice su solución anti-spear phishing a una solución que vaya más allá del DMARC y la detección tradicional. La solución debe ser capaz de identificar técnicas de suplantación difíciles de detectar que evaden DMARC, incluidos los dominios de primos y la suplantación de nombres para mostrar.
Ya sea que lo llames spear phishing, fraude de CEO o compromiso de correo electrónico empresarial, todos los ataques de correo electrónico dirigidos muestran características, comportamientos e incluso lenguaje similares. Ahí es donde la inteligencia artificial (IA) sobresale en la detección.
Al buscar anomalías en el tráfico de correo electrónico y comportamientos maliciosos en los correos electrónicos, los algoritmos de IA pueden detectar qué soluciones estadísticas o de huellas dactilares se pierden. Vade Secure utiliza dos técnicas de aprendizaje automático para detectar el spear phishing y el fraude de CEO:
- Detección de anomalías: Identifica valores atípicos o comportamientos poco comunes en un conjunto de datos, en este caso, el tráfico de correo electrónico de una organización. Aprende con el tiempo qué es y qué no es el comportamiento de envío/recepción típico de la organización e identifica anomalías, incluidos los dominios de primo y la suplantación de nombres para mostrar.
- Procesamiento del lenguaje natural: Detecta las palabras y frases comunes utilizadas en el fraude de CEO y el spear phishing, en particular el lenguaje que indica urgencia o está relacionado con transacciones financieras.
Vade Secure para Microsoft 365 alerta a los usuarios sobre posibles intentos de phishing indirecto con un banner de advertencia que se activa cuando se abre el correo electrónico sospechoso. Esto proporciona la pausa necesaria para que el usuario considere las posibles señales de advertencia que de otra manera podría haber pasado por alto. Además, si el correo electrónico contiene anomalías, pero es un mensaje legítimo, el correo electrónico no será mal clasificado y bloqueado, asegurándose de que importantes empresas de comunicaciones se ha entregado correctamente.