Tabla de contenido:
Video: Estafa del CEO. ¿Qué es y cómo funciona este fraude financiero? (Noviembre 2024)
Al principio, la solicitud de amistad de Facebook parecía perfectamente normal, pero luego me di cuenta de que este amigo, a quien conozco desde la secundaria, ya estaba conectado conmigo en Facebook. Así que miré el perfil más de cerca y estaba claro que se trataba de una suplantación. Entonces le envié un mensaje de texto a mi amiga para preguntarle si había enviado la nueva solicitud y ella respondió que no, y agregó que alguien había intentado recientemente usar su tarjeta de crédito para comprar algunos artículos de Amazon. Afortunadamente, ella había reemplazado esa tarjeta en particular para que no se perdiera dinero, pero claramente, estaba siendo atacada por un ladrón de identidad. Le sugerí que llamara a la policía para denunciarlo.
El proceso funciona cuando el criminal se abre paso a través de la organización, avanzando constantemente hasta que la persona pueda aparecer como un empleado de alto rango. Con frecuencia, el objetivo final es robar la identidad del CEO. Luego, el delincuente utiliza el correo electrónico personal para abrir comunicaciones con empleados que tienen acceso a información corporativa crítica, como finanzas y propiedad intelectual (IP). Para parecer legítimo, puede hacer referencias a eventos de trabajo futuros específicos, una reunión reciente o un evento similar al que asistió el objetivo, que el ladrón de identidad obtuvo de las redes sociales.
Una vez que un empleado está convencido de que el criminal es quien pretende ser, comienzan las solicitudes. Por lo general, al principio son pequeños, como pedir un artículo para la oficina. Pero luego se vuelven más grandes y más exigentes. Eventualmente, el criminal está pidiendo cantidades sustanciales de dinero o tal vez que cierta IP, como dibujos o especificaciones, se envíe a una dirección de un tercero.
Los intentos de fraude del CEO están en aumento
Estos esquemas pueden sonar exagerados, pero son la base del "Fraude del CEO", que ocurre con una regularidad deprimente. La gente de la compañía de capacitación en seguridad KnowBe4 relata una estafa en la que un empleado fue enviado corriendo por la ciudad en busca de 20 tarjetas de regalo de Apple iTunes, cada una con un valor de $ 100, aparentemente para enviar a los clientes.
Pero los ejemplos empeoran, y en algunos casos, cientos de miles de dólares han sido transferidos a cuentas bancarias extraterritoriales después de que un criminal que pretendía ser el CEO de una compañía hizo tal solicitud a un departamento de contabilidad particularmente crédulo. Si bien este proceso funciona como cualquier cantidad de estafas de confianza, hay pasos que un departamento de TI puede tomar para minimizar las posibilidades de que suceda en su organización.
7 pasos para minimizar el fraude del CEO
Esos pasos incluyen decirle a su personal que estos intentos son posibles, describir las formas que tomarán y hacerles saber que el personal de seguridad de la compañía está listo para ayudar. También es una buena idea crear un conjunto de reglas que los empleados deben seguir con respecto tanto a la respuesta como a los informes. Aquí hay algunas sugerencias para los CEO y otros altos directivos:
Envíe un correo electrónico a todos los empleados para informarles que los empleados están siendo atacados por los malos que quieren ingresar a una organización. Dígales que deben ser conscientes de los intentos de robo de identidad, incluidos los impostores que aparecen como ellos en las redes sociales.
Solicite que los empleados informen al personal de seguridad cuando sospechen que los ladrones de identidad se están acercando a ellos; Esto incluye intentos de robo de números de tarjetas de crédito. Incluso si el intento es solo un skimmer aleatorio, su personal apreciará saber que está dispuesto a ayudar.
Esté atento a los patrones. Si comienza a ver un aumento en los intentos de robo de identidad contra sus empleados, es una señal de que puede ser el objetivo real. Advierte a tus empleados.
Configure algunas cosas específicas que nunca le pedirá a sus empleados que hagan. Esto puede incluir comprar tarjetas de regalo, pedirles que tomen cualquier tipo de acción oficial sobre la base de un correo electrónico enviado a través de una cuenta personal, o pedirles que envíen fondos por correo electrónico o IP a terceros sobre la base de una solicitud por correo electrónico enviada por correo electrónico personal.
Proteja la información de contacto personal, incluida la dirección física, la dirección de correo electrónico personal y los números de teléfono personales, de sus empleados para que sea más difícil para los ladrones atacarlos.
Revise periódicamente las cuentas de redes sociales de sus empleados en busca de signos de que alguien los esté personificando. Esto aparecería como una segunda cuenta con su nombre y generalmente su foto. Si bien el empleado puede tener dos cuentas por una razón, como una para uso personal y otra para uso comercial, debe preguntarles.
Una vez que haya hecho las reglas, sígalas. Si realmente necesita 100 tarjetas iTunes, pídalas a Apple usando las reglas apropiadas proporcionadas por el departamento de compras de su organización.
- Las mejores soluciones de gestión de identidad para 2019 Las mejores soluciones de gestión de identidad para 2019
- ¿Realmente necesita pagar por un servicio de protección contra robo de identidad? ¿Realmente necesita pagar por un servicio de protección contra robo de identidad?
- Para detener el phishing, Google dio claves de seguridad a todos los empleados Para detener el phishing, Google dio claves de seguridad a todos los empleados
Ya sea robo de identidad o simplemente suplantación de identidad, estas actividades son a menudo las primeras etapas de un ataque de phishing porque los atacantes necesitan suficiente información para que sus mensajes parezcan creíbles. Los ataques de phishing son el método más exitoso detrás de las violaciones de datos porque se superponen con la simple negligencia del usuario. Detener los ataques antes de que ocurran significa que puede salvar a su organización de los costos significativos asociados con una violación de datos.
Y no piense que no le sucederá a su empresa porque es demasiado pequeña. Independientemente del tamaño, la mayoría de las organizaciones tienen los puntos de valor mínimos que buscan este tipo de delincuentes: dinero y acceso a otras empresas.
