El objetivo principal del llamado «Fraude del CEO» es engañar a empleados que por su posición en la empresa tengan acceso a los recursos económicos para que sean capaces de tomar la decisión de pagar una factura falsa o realizar una transferencia desde su compañía.
Recientemente hemos conocido el caso de la EMT pero hay muchos más que han utilizado esta técnica.
El fraude del CEO
Después de saber a quién va dirigido, vamos a ver en qué consiste este tipo de fraude
Consiste en que un empleado de alto rango, como hemos comentado debe ser un empleado que tenga capacidad para hacer transferencias o acceso a los datos de cuentas, recibe un correo, supuestamente de su jefe, ya sea CEO, presidente o director de la empresa.
En este mensaje le pide ayuda para una operación financiera confidencial y urgente.
Si el empleado no se diera cuenta de que es un mensaje faudulento podría respodner a su supuesto jefe y picar en el engaño. Este tipo de engaños se conocen commo Whaling por tratarse de phishing dirigido a «peces gordos».
Aquí debemos añadir que si el empleado está visualizando el correo desde un dispositivo móvil, es más difícil ver a simple vista que la dirección de correo no es la correcta.
Por norma general, la intención de ese primer correo es que el empleado desvele datos confidenciales tales como, por ejemplo, el saldo de las cuentas bancarias para, en un segundo correo solicitarle una transferencia urgente.
Esta técnica cada vez es más depurada y a través de la ingeniería social, los atacantes pueden disponer de información para prepara su ataque en el momento preciso.
Por ejemplo, cuando el CEO está de viaje o no está accesible a menos que sea algo de causa mayor.
Ingeniería Social

Como hemos visto muchas veces, a través de técnicas OSINT es relativamente sencillo obtener información sobre una empresa para que este tipo de ataques parezcan más creíbles.
Como por ejemplo, el formato los correos electrónicos utilizados, nombres de empleados, etc.
Solución
La solución en casos de ataques con técnicas de ingeniería social simple pasa por concienciar a los empleados.
Y en este caso concreto, también se debería implantar algún procedimiento de pagos en el que en ningún caso intervenga una sola persona. De esta forma se amplia la posibilidad de detectar el fraude.
Photo by Razvan Chisu on Unsplash
Photo by Taskin Ashiq on Unsplash