‘Phishing’ – L’estafa del CEO


En el context actual, a més de tenir en compte algunes de les recomanacions sobre les mesures a aplicar per part de les empreses en el que fa referència al teletreball como hem explicat als últims posts, hem de tenir en compte que es poden incrementar estafes que utilitzen la enginyeria social como l’estafa del CEO.

En aquest post, us volem explicar aquest mètode de phishing i oferir-vos una sèrie de recomanacions elaborades pel INCIBE.

A qui va dirigida l’estafa?

A qualsevol empleat d’una companyia, en especial aquells que tinguin accessos als recursos econòmics i financers de l’empresa.

En general, qualsevol persona que estigui habilitada per emetre pagaments per transferència a nom de l’empresa o compti amb la informació necessària per a realitzar-los.

Què és ‘l’estafa del CEO’?

Aquest engany consisteix en què un empleat d’alt rang o el comptable de l’empresa, amb capacitat per a fer transferències o amb accés a dades de comptes, rep un correu, suposadament del seu cap, ja sigui el seu CEO, president o director de l’empresa. En aquest missatge li demana ajuda per a una operació financera confidencial i urgent.

Si l‘empleat no s’adonés de què és un missatge fraudulent podria respondre al seu suposat cap i picar en l’engany. Aquest tipus d’enganys es coneix com a whaling per a tractar-se de phishing dirigit a «peixos grossos».

Si a més, l’empleat està visualitzant el correu a través d’un dispositiu mòbil, no podrà corroborar a simple vista que l’adreça del correu origen és la correcta, llevat que faci clic sobre el nom del remitent. Això fa que sigui una mica més difícil de detectar.

De no adonar-se de l’engany, podria revelar dades confidencials com el saldo del compte, al que seguiria una petició per a què faci alguna transferència urgent.

Els defraudadors aprofiten ocasions en les que el cap està absent de viatge o poc accessible, com pot succeir aquests dies, per a perpetrar aquest tipus de suplantacions i que la víctima no tingui l’oportunitat de verificar la seva autenticitat.

En casos més sofisticats, poden prèviament haver espiat, mitjançant un malware espia, els correus electrònics per imitar l’estil d’escriptura del cap. També han pogut prèviament robar les credencials d’accés del cap al seu compte de correu per enviar el correu des d’aquest mateix compte.

Recomanacions

Aquest tipus de fraus utilitza tècniques d’enginyeria social. La forma d’evitar-los és conscienciar als empleats per a reconèixer-los i eludir-los, tenint especial atenció si utilitzen dispositius mòbils per a llegir el correu.

És important establir procediments segurs per a realitzar pagaments, de manera que estigui implicada més d’una persona, amb doble verificació, per exemple.

A més, per evitar que espiïn el nostre correu electrònic i pal·liar els efectes d’una possible infecció:

  • tenir el sistema operatiu i totes les aplicacions actualitzades per a prevenir possibles infeccions o intrusions que afecten a sistemes desactualitzats;
  • instal·lar i configurar filtres anti spam i un bon antivirus; mantenir-lo al dia, actualitzant el software i les signatures de malware;
  • desactivar la vista de correus en HTML als comptes crítics.

Consells per evitar ser objecte de ‘phishing’

  • Si dubtem del remitent:
    • Comprovarem de qui és aquell domini (el que va darrere de la @) en Whois. També podrem comprovar si aquella URL allotja algun malware utilitzant el servei gratuït d’anàlisi d’URL de Virustotal.
  • Si el missatge té adjunts sospitosos:
    • Tindrem habilitada l’opció que permet mostrar l’extensió dels arxius al sistema operatiu.
    • Si dubtem d’un arxiu que hem descarregat podem comprovar, abans d’executar-lo, si conté malware al web de Virustotal.
    • Deshabilitarem les macros a Microsoft Office. Aquesta és la manera de fer-ho a Mac Osx i a Windows.
    • Per impedir l’execució d’arxius executables als usuaris, es poden utilitzar aplicacions de llista blanca com AppLocker.
  • Si el missatge ens convida a fer clic a enllaços:
    • Davant la mínima sospita copiarem el link i l’analitzarem a Virustotal o a una altra pàgina similar.
    • Els enllaços escurçats poden amagar sorpreses desagradables doncs a priori no podem saber a on ens duran. Una opció és copiar-los a unshorten.me per estendre’ls abans de fer clic en ells.

Font: www.incibe.es

Recordeu que estem a la vostra disposició per a qualsevol dubte que pugueu tenir.

L’equip de PymeLegal.

#quedatacasa