Què és el “Frau del CEO”?
El Frau del CEO és un tipus de ciberatac que es pot cometre utilitzant els mètodes comentats fins ara; a través de Phishing (correu electrònic), Vishing (trucada telefònic o videotrucada) i Smishing (missatge de text o enviament d’un vídeo o àudio).
Consisteix a suplantar la identitat duna persona amb un càrrec o lloc dautoritat o responsabilitat dins de lempresa privada o entitat pública. Encara que faci referència al CEO (Director General), poden ser suplantats qualssevol directius, consellers, coordinadors o fins i tot càrrecs polítics i personalitats públiques.
El que es pretén és que l’Usuari@ confiï plenament en la comunicació rebuda, perquè és una persona de confiança i la sol·licitud de la qual ha de ser atesa sí o sí. De fet, actualment i mitjançant Intel·ligència Artificial és cada cop més fàcil crear comunicacions falses utilitzant la imatge i veu reals d’una persona (com podem veure a la imatge d’exemple, amb cares de famosos). A més, per evitar que els usuaris tinguin temps de pensar detingudament la resposta o de detectar el frau, gairebé sempre les peticions realitzades per aquests mitjans solen ser d’extrema urgència.
Què implica això?
Que, si el nostre cap ens demana amb urgència canviar una contrasenya, descarregar un arxiu, fer una transferència o facilitar-li alguna dada o informació, el més segur és que l’atenguem com més aviat millor, sense pensar gaire en si té sentit el que ens està sol·licitant.
Com podem detectar aquests atacs?
- Contactant per altres mitjans: Una trucada realitzada a aquesta persona que ens està sol·licitant alguna cosa amb urgència, ens permet verificar si és un frau o és una petició real. És molt important que no intentem fer aquesta comprovació contestant el mateix missatge, perquè podríem posar en alerta de la nostra sospita el cibercriminal i seria pitjor.
- Aplicant la lògica comuna: Prenem-nos un temps per pensar si el que s’està demanant és habitual o, fins i tot, si s’estan fent servir les vies indicades en polítiques corporatives o procediments de treball per a aquest tipus de peticions. Vegem-ne alguns exemples:
-
- Si en procediments interns s’indica que el canvi de contrasenyes s’ha de sol·licitar per correu a una adreça de suport concreta o per una plataforma específica, no confiem en qualsevol trucada o missatge de text o veu que puguem rebre, sense estar segur que no és un engany.
- Si tenim prohibit enviar informació per Whatsapp o serveis similars, el nostre superior mai no ens demanarà documents o dades confidencials per aquest mitjà.
- Si per fer transferències es requereix una doble aprovació o comprovació interna, no canviem dades de pagament, ni fem aquest tipus de transaccions a la lleugera. Per molt que siguin urgents.
-
RECORDEM NOVAMENT: Si creus que has facilitat informació personal o professional, que no havies d’haver revelat a causa d’aquest tipus de ciberatac, avisa d’això en l’àmbit laboral avisa el Dept. d’IT, CIS o DPO i en l’àmbit personal denuncia’l davant l’autoritat policial.