Seguridad

Aumenta el número de “estafas al presidente” en PYMES

Los esfuerzos de concientización llevados a cabo por organizaciones y empresas parecen haber dado sus frutos. Las grandes empresas son cada vez más cautelosas a la hora de protegerse contra el fraude online. Sin embargo, no todo son buenas noticias y es que parece que los estafadores se han movido hacia otros objetivos más fáciles: 2017 fue el año del aumento en el número de “fraudes al presidente” en las PYMES.

El fraude ha llegado ya a las altas esferas de las empresas. Una nueva técnica, utilizada diariamente en 2017, tiene como objetivo alentar a una empresa a realizar una transferencia urgente de una gran cantidad de dinero con motivo de una transacción grande y confidencial (fusión, adquisición, oferta pública de adquisición, etc.). De forma que, si no se tienen los conocimientos necesarios, se caiga en la trampa de manera de rápida.

Este fraude, basado en la ingeniería social, se realiza mediante la recopilación de información sobre la empresa. Así, gracias a redes sociales como Facebook o LinkedIn, los estafadores recopilan una gran cantidad de información para prepararse para su ataque y hablar con la persona adecuada. Para ello, los  cibercriminales usurpan la identidad de uno de los líderes o del presidente (de ahí el nombre: “estafa al presidente”) vía correo electrónico, insistiendo en el aspecto confidencial y urgente de la solicitud.

Las víctimas son principalmente los asistentes ejecutivos o el personal del departamento de contabilidad ya que son los empleados con acceso a la información que se está solicitando. Una vez enviado el correo, el pirata no dudará en relanzar a su víctima, presionarlo para que realice el pago o, por el contrario, tratar de ganarse su confianza para que acabe llevando a cabe la transacción. La información recopilada anteriormente dará credibilidad a sus argumentos y su solicitud con lo que, si no se conoce este tipo de fraude, es muy probable que se caiga en la trampa.

Eestas estafas que antes estaban principalmente orientados a grandes empresas (RyanAir, Nestlé, Facebook, Google …) ahora ataca a pequeñas y medianas empresas con menor protección frente a este tipo de ataques. Por culpa de esta estafa, una empresa austriaca perdió nada más y nada menos que 42 millones de euros. En Francia, las estafas al presidente representa 430 millones de euros de daños sufridos en 3 años. Los importes generalmente registrados ascienden a entre € 100,000 y € 2 millones. Michelin, por ejemplo, perdió 1,6 millones de euros.

Hoy, el proceso se ha industrializado para llegar a un mayor número de empresas, con cantidades menores. Las estafas están fragmentadas, los cibercriminales no dudan en crear nombres de dominio muy cercanos a los de sus socios para incitarlos a pagar facturas falsas de empresas que creen conocer. A veces, los ladrones llegan incluso a crear una estructura legal real para dar credibilidad a la acción (este fue el caso del ataque a Google). Otras técnicas de uso masivo utilizan direcciones de correo electrónico reales de la empresa, pero solicitan una respuesta en una dirección externa o reproducen la suplantación de la dirección del remitente al ocultar la dirección de correo electrónico real.

Estas técnicas son normalmente detectables fácilmente por un poderoso antispam ya que la vulnerabilidad MailSploit, descubierta en diciembre de 2017, hace que la dirección real del remitente sea completamente invisible.

Todas las empresas son objetivos y pueden convertirse en víctimas

Hoy, el 100% de las empresas son víctimas de ataques masivos de fraude por correo electrónico, según Altospam. Por eso, proteger el correo electrónico de tu empresa con una solución efectiva de protección de correo electrónico es vital. Además, os compartimos algunas recomendaciones para evitar dichos ataques y proteger su negocio:

  • hacer que los empleados sean conscientes de los riesgos de fraude, especialmente los asistentes de administración y contadores
  • establecer procedimientos de verificación seguros para pagos internacionales
  • controlar el uso de las redes sociales y aconsejar limitar la información de la información sobre la empresa
  • tener un poderoso servicio de protección de correo electrónico para bloquear la suplantación de direcciones
  • aumentar el estado de alerta durante los períodos de vacaciones.

Hoy en día, el 46% de las empresas no han establecido un dispositivo antifraude específico y el 63% de ellas no ha desarrollado un plan de emergencia en caso de fraude. Sin embargo, todas las empresas son objetivos y pueden convertirse en víctimas.

¿Qué hacer en caso de ser atacado?

Si, a pesar de estas precauciones, usted es víctima de un ataque de este tipo, debe pedir inmediatamente al banco que congele los fondos y presentar una denuncia ante la policía. Cuanto más rápida sea la acción, más probabilidades tendrá de recuperar su dinero. Lamentablemente, estos a menudo se transfieren rápidamente a otras cuentas extranjeras, por lo que la cancelación generalmente es imposible.

En algunos casos, los bancos pueden ser declarados culpables de autorizar una transferencia sin el consentimiento del titular de la firma oficial. En 2014, el Tribunal Comercial de París condenó al banco CIC por negligencia al autorizar una transferencia deshonesta. Esta decisión puede usarse como un precedente. Por otro lado, algunas aseguradoras como Euler Hermes ofrecen garantías para proteger a las empresas contra el riesgo de fraude y les permiten una indemnización en caso de reclamaciones.

La entrada Aumenta el número de “estafas al presidente” en PYMES aparece primero en Globb Security.

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.