• 11/07/2019

Policía Nacional: responsable de grupo criminal especializado en el fraude del CEO detenida

Ciberseguridad

La Policía Nacional, en colaboración con Europol, ha detenido a la responsable de un grupo criminal nigeriano especializado en el fraude del CEO en el aeropuerto de Madrid-Barajas Adolfo Suárez, por delitos de estafa y blanqueo de capitales. El fraude protagonizado por este grupo de ciberdelincuentes se conoce como Spear Phising o Business Email Compromise: el ciberdelincuente se hace pasar por el responsable de una empresa (CEO) llegando a ordenar importantes transacciones monetarias a cuentas bancarias maliciosas.

La investigación se inició en noviembre de 2018 tras el aviso de Europol sobre el grupo de ciberdelincuentes a raíz de la denuncia de una empresa holandesa: los defraudadores se hicieron pasar por un socio de máxima confianza y consiguieron que la empresa transfiriera una importante cantidad de dinero a una cuenta bancaria controlada por la persona ahora detenida. La investigación ha permitido bloquear cuentas bancarias y evitar que el dinero defraudado fuera superior. Continua la coordinación internacional para detener a sus colaboradores.

El fraude del CEO: physing

  • Los objetivos de los ciberdelicuentes son miembros del Departamento de Administración, CEOs y clientes de PYMES y grandes empresas con proyección global, acostumbrados a gestionar grandes cantidades de dinero.
  • Generalmente, la estafa se basa en la aplicación de un software malicioso junto con sofisticadas técnicas de ingeniería social, para espiar y controlar las comunicaciones de la empresa de los interlocutores de la víctima.
  • Comienza con un email, aparentemente correcto a un correo corporativo, o de ámbito empresarial, mediante el que se invita a su receptor:
    • a abrir un archivo adjunto, con asuntos del tipo “entrega pendiente” o “factura”, que contiene un malware
    • a hacer clic en un enlace a una página web con contenido malicioso;
    • a hacer clic en un enlace que redirige a un formulario online que solicita, con una excusa verosímil (por ejemplo, la actualización del correo web), información sensible como las contraseñas del correo electrónico.
  • Conseguida la contraseña del correo, el estafador accede al mismo sin levantar sospechas y:
    • solicita a sus entidades bancarias, o a las empresas con las que mantiene acuerdos comerciales, la ejecución de transferencias o el pago de facturas.
    • obtiene información personal, comercial o corporativa de los usuarios atacados.

 

Nuestros consejos

Si eres la víctima de un ataque spear phishing, tú serás la principal línea de defensa, independientemente de las protecciones tecnológicas que estén implementadas.

Desafortunadamente, los consejos contra el phishing a menudo terminan siendo bastante específicos, como aconsejarle que “busque errores ortográficos”, o “sospeche de una mala gramática” o “asegúrese de estar en una página web de HTTPS genuina”.

Todas esas recomendaciones pueden ayudar, pero los phishers pueden atacarte de muchas maneras, incluyendo correo electrónico, web, teléfono, SMS, Twitter, Skype, Facebook, o cualquier medio a través del cual estés acostumbrado a recibir mensajes.

Y, por supuesto, no hay ninguna regla que diga que los ciberatacantes siempre cometen errores de ortografía; y ninguna regla que diga que la gente en la que confías siempre se deletreará correctamente.

Así que la defensa más simple y general es esta: ¡precaución!

Un spear-phisher, casi siempre requerirá que actúes de una manera no estándar.

Después de todo, si sigues el procedimiento habitual, como iniciar sesión en tu cuenta corporativa para verificar las entregas de mensajería, no caerás en el truco del delincuente de pedirte que abras un documento adjunto por correo electrónico.

Por lo tanto, ten en cuenta estos consejos:

Familiarizarse con los procesos habituales de la empresa. Si algo parece dudoso, pide una segunda opinión.
Si alguien quiere que varíes el procedimiento habitual, pide una segunda opinión.
Nunca confíes en extraños solo porque parecen conocer datos “internos”
Nunca uses, ni compartas la información proporcionada por un extraño (por ejemplo, un número de teléfono o una dirección web) para la verificación. Utiliza una segunda fuente.
No te dejes apresurar o acosar para tomar atajos. Pide una segunda opinión.
No hagas click en enlaces de emails de procedencia dudosa

Ah, y si crees que un ciberdelincuente está tratando de engañarte para que le des información que no deberías, ¡alerta a todos los demás en la empresa!

Desde Sophos siempre recordamos que la concienciación de los usuarios es fundamental a la hora de evitar esta clase de ataques. Sophos Phis Threat permite realizar campañas simuladas de Phising, logrando formar y concienciar al eslabón más vulnerable ante esta clase de ciberamenazas, los usuarios.


Tags: ciberataque, ciberdelincuente, ciberseguridad, Policía Nacional, simulador de ciberataques

Categorías

Tags