• Vialynk

ūüĎČ ¬ŅQu√© es un CEO Fraud? La t√©cnica de Ingenier√≠a social con la que atacaron a EPMAPS en Quito ūüíłūüßź

Actualizado: 12 de jun de 2020

En d√≠as pasados la capital del Ecuador amaneci√≥ con una noticia ‚ÄúLas cuentas del Banco Central del @aguadequito han sido atacadas digitalmente‚ÄĚ esto puso a todos preocupados, se trata del mencionado fraude en la Empresa P√ļblica Metropolitana de Agua Potable y Saneamiento (Epmaps). Se realizan investigaciones de quienes pudieron ser los culpables de las transferencias fraudulentas dentro de la instituci√≥n, el destino del 1,3 millones de d√≥lares eran bancos en Estados Unidos y Hong Kong.


El alcalde de la ciudad menciona, que ya las autoridades est√°n investigando lo acontecido. Y a todo esto el Banco Central, responde: ‚Äú El Banco Central informa que todos los sistemas y cuentas que administra la instituci√≥n se encuentran protegidos por los m√°s altos est√°ndares tecnol√≥gicos de seguridad‚ÄĚ. Esto es verdad, pero hay t√©cnicas que atacan al eslab√≥n m√°s d√©bil de la cadena LOS USUARIOS.



Te invitamos a conocer Human Shield, nuestra plataforma que te permite concientizar a tus colaboradores para que no sean víctimas de los ciberdelincuentes.


Dentro de un contexto de seguridad, la ingenier√≠a social significa el uso de manipulaci√≥n psicol√≥gica para enga√Īar a las personas y que por consecuencia divulguen informaci√≥n confidencial o proporcionen acceso a fondos. El arte de la ingenier√≠a social podr√≠a incluir informaci√≥n de redes sociales, como: LinkedIn, Facebook entre otros, lo que permite una vulneraci√≥n de la informaci√≥n sobre el personal de una organizaci√≥n; esto puede incluir su informaci√≥n de contacto, conexiones, amigos, negocios en curso y m√°s. Escenarios de ataque comunes

Empresas que trabajan con un proveedor extranjero: esta estafa aprovecha una larga relación de transferencia bancaria con un proveedor, pero solicita que los fondos se envíen a una cuenta diferente.

Empresa que recibe o inicia una solicitud de transferencia bancaria: al comprometer y/o falsificar las cuentas de correo electrónico de los altos ejecutivos, otro empleado recibe un mensaje para transferir fondos a alguna parte, o una institución financiera recibe una solicitud de la empresa para enviar fondos a otra cuenta. Estas solicitudes parecen genuinas ya que provienen de la dirección de correo electrónico correcta.

Contactos comerciales que reciben correspondencia fraudulenta: al hacerse cargo de la cuenta de correo electr√≥nico de un empleado y enviar facturas a los proveedores de la compa√Ī√≠a, el dinero se transfiere a cuentas falsas.

Suplantación de ejecutivos y abogados: los estafadores fingen ser abogados o ejecutivos que se ocupan de asuntos confidenciales y urgentes.

Robo de datos: los correos electr√≥nicos fraudulentos solicitan todos los formularios de declaraci√≥n de salarios o impuestos (W-2) o una lista de la empresa de informaci√≥n de identificaci√≥n personal (PII). Estos provienen de cuentas de correo electr√≥nico ejecutivas comprometidas y / o falsificadas y se env√≠an al departamento de recursos humanos, cuentas o departamentos de auditor√≠a. ¬ŅQui√©nes son los principales objetivos?

El CEO no siempre es el que está en la mira de un criminal. Hay otros grupos de empleados considerados objetivos valiosos dados sus roles y acceso a fondos o información:

Las Finanzas El departamento de finanzas es especialmente vulnerable en las empresas que regularmente realizan grandes transferencias bancarias. Con demasiada frecuencia, las pol√≠ticas internas descuidadas solo exigen un correo electr√≥nico del CEO u otra persona de alto rango para iniciar la transferencia. Los delincuentes cibern√©ticos generalmente obtienen acceso a trav√©s de phishing, pasan unos meses haciendo reconocimiento y formulan un plan. Reflejan los protocolos habituales de autorizaci√≥n de transferencia bancaria, secuestran una cuenta de correo electr√≥nico relevante y env√≠an la solicitud a la persona adecuada en finanzas para transmitir los fondos. Adem√°s del CFO, este podr√≠a ser cualquier persona en cuentas autorizadas para transferir fondos. Recursos humanos Representa una carretera maravillosamente abierta hacia la empresa moderna. Despu√©s de todo, tiene acceso a todas las personas de la organizaci√≥n, gestiona la base de datos de empleados y se encarga de la contrataci√≥n. Como tal, una funci√≥n importante es abrir curr√≠culums vitae de miles de solicitantes potenciales. Todo lo que los ciberdelincuentes deben hacer es incluir software esp√≠a dentro de un curr√≠culum vitae y pueden comenzar subrepticiamente sus primeras actividades de recopilaci√≥n de datos. Adem√°s, las estafas W2 y PII se han vuelto m√°s comunes. Recursos Humanos recibe solicitudes de correos electr√≥nicos falsificados y termina enviando informaci√≥n de los empleados, como n√ļmeros de seguridad social y direcciones de correo electr√≥nico de los empleados, a organizaciones criminales.

Equipo ejecutivo

Cada miembro del equipo ejecutivo puede considerarse un objetivo de alto valor. Muchos poseen alg√ļn tipo de autoridad financiera. Si se piratean sus cuentas de correo electr√≥nico, generalmente proporciona a los ciberdelincuentes acceso a todo tipo de informaci√≥n confidencial, sin mencionar la inteligencia sobre el tipo de acuerdos que pueden estar en curso. Por lo tanto, las cuentas ejecutivas deben recibir una atenci√≥n particular desde una perspectiva de seguridad.

"Las personas están acostumbradas a tener una solución tecnológica [pero] la ingeniería social pasa por alto todas las tecnologías, incluidos los cortafuegos. La tecnología es crítica, pero tenemos que mirar a las personas y los procesos. La ingeniería social es una forma de piratería que utiliza tácticas de influencia". Kevin Mitnick

Debemos ser conscientes de que LOS USUARIOS son el eslabón más débil de la cadena de la ciberseguridad y por ello es importante que estén constantemente actualizados de las formas de ataque.


La forma más eficiente para evitar ataques de Ingeniería Social es la simulación de ataques y esto puede ser posible gracias a Human Shield, desde donde puede enviar ataques personalizados a la realidad ecuatoriana a todos los usuarios de su organización.


Si quiere conocer más de esta solución y de muchas más no dude en contactarnos para entregarle el acceso directo a una prueba SIN COSTO de nuestra plataforma.


Hasta la próxima.

123 vistas0 comentarios