Agentes de la Policía Nacional, en colaboración con Europol, han detenido a la responsable de un grupo criminal nigeriano especializado en el fraude del CEO. La detención de la mujer, de origen nigeriano y de 44 años de edad, se ha producido en el aeropuerto de Madrid-Barajas Adolfo Suárez, por delitos de estafa y blanqueo de capitales. Además, los agentes han resuelto una estafa denunciada por importe de 122.000 euros. Con este tipo de fraude, también conocido como Spear Phising o Business Email Compromise, el atacante consigue el control de las comunicaciones para hacerse pasar por el responsable de una empresa y, con engaño suficiente, ordenar importantes transacciones monetarias a cuentas bancarias maliciosas.
La investigación se inició en noviembre de 2018 cuando, a través de los canales de difusión oficiales de Europol, se recibió la denuncia de una empresa holandesa que reveló la existencia de un grupo criminal especializado en la estafa del CEO.
La compañía holandesa denunció una estafa en la que los defraudadores se hicieron pasar por un socio de máxima confianza. De esta forma, consiguieron que la empresa transfiriese una importante cantidad de dinero a una cuenta bancaria controlada por la persona ahora detenida. Ésta rápidamente debía fraccionarla en varias transacciones de menor importe a otras cuentas, también controladas por la organización, para conseguir el doble efecto de blanqueo y dificultar su trazabilidad.
Modus operandi
Esta modalidad delictiva es utilizada por los estafadores tecnológicos. Sus objetivos son miembros del Departamento de Administración, CEOs y clientes de PYMES y grandes empresas con proyección global, acostumbrados a gestionar, mover y transferir grandes cantidades de dinero. En la mayor parte de los casos, la estafa se basa en la aplicación de un software malicioso que, unido a sofisticadas técnicas de ingeniería social, permite conseguir el control y espionaje de las comunicaciones de la empresa de los interlocutores de la víctima.
Suele comenzar con el envío de un email, aparentemente normal (legítimo) a un correo corporativo, o de ámbito empresarial, mediante el que se invita a su receptor: bien a abrir un archivo adjunto, en cuyo asunto figuran notificaciones del estilo “entrega pendiente” o “factura”, que contiene un malware; bien a hacer clic en un enlace a una página web con contenido malicioso; o bien a hacer clic en un enlace que redirige a un formulario online mediante el que se solicita, con una excusa verosímil (por ejemplo, la actualización del correo web), información sensible como pueden ser las contraseñas del correo electrónico en cuestión.
Conseguida la contraseña del correo, el estafador tiene acceso al mismo sin levantar sospechas. A partir de ese momento, solicita a sus entidades bancarias, o a las empresas con las que mantiene acuerdos comerciales, la ejecución de transferencias o el pago de facturas. Además, el acceso a la cuenta de correo electrónico de sus víctimas le permite obtener información personal, comercial o corporativa de los usuarios vulnerados.
Una estafa de 122.000 euros resuelta
La investigación ha permitido bloquear judicialmente 9 cuentas bancarias. Además, se ha resuelto la estafa denunciada por un importe de 122.000 euros y se ha evitado, con la detención de la principal investigada, que el dinero defraudado alcanzara cifras superiores.
Se continúan las gestiones en el escenario internacional, en colaboración con las fuerzas de seguridad de otros países implicados, para conseguir la detención de los colaboradores de la persona detenida, quienes operan desde el extranjero controlando electrónicamente las comunicaciones de sus víctimas.
Nuestros consejos
Si eres la víctima de un ataque spear phishing, tú serás la principal línea de defensa, independientemente de las protecciones tecnológicas que estén implementadas.
Desafortunadamente, los consejos contra el phishing a menudo terminan siendo bastante específicos, como aconsejarle que “busque errores ortográficos”, o “sospeche de una mala gramática” o “asegúrese de estar en una página web de HTTPS genuina”.
Todas esas recomendaciones pueden ayudar, pero los phishers pueden atacarte de muchas maneras, incluyendo correo electrónico, web, teléfono, SMS, Twitter, Skype, Facebook, o cualquier medio a través del cual estés acostumbrado a recibir mensajes.
Y, por supuesto, no hay ninguna regla que diga que los phishers siempre cometen errores de ortografía; y ninguna regla que diga que la gente en la que confías siempre se deletreará correctamente.
Así que la defensa más simple y general es esta: precaución y concienciación de los usuarios.
Desde Sophos siempre recordamos que los usuarios son el eslabón más débil de la empresa y por ello es primordial su concienciación y formación ante este tipo de ataques.
Un spear-phisher, casi siempre requerirá que actúes de una manera no estándar.
Después de todo, si sigues el procedimiento habitual, como iniciar sesión en tu cuenta corporativa para verificar las entregas de mensajería, no caerás en el truco del delincuente de pedirte que abras un documento adjunto por correo electrónico.
Por lo tanto, ten en cuenta estos consejos:
- Familiarizarse con los procesos habituales de la empresa. Si algo parece dudoso, pide una segunda opinión.
- Si alguien quiere que varíes el procedimiento, pide una segunda opinión.
- Nunca confíes en extraños solo porque parecen conocer datos “internos”. Pide una segunda opinión.
- Nunca uses la información proporcionada por un extraño (por ejemplo, un número de teléfono o una dirección web) para la verificación. Utiliza una segunda fuente.
- No te dejes apresurar o acosar para tomar atajos. Pide una segunda opinión.
Ah, y si crees que un ciberdelincuente está tratando de engañarte para que le des información que no deberías, ¡alerta a todos los demás en la empresa!
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:
Dejar un comentario