Que é a “fraude do CEO”?
CEO Fraud é un tipo de ciberataque que se pode cometer utilizando os métodos comentados ata agora; mediante Phishing (correo electrónico), Vishing (chamada telefónica ou videochamada) e Smishing (mensaxe de texto ou envío de vídeo ou audio).
Consiste en suplantar a identidade dunha persoa con cargo ou cargo de autoridade ou responsabilidade dentro da empresa privada ou ente público. Aínda que se refire ao CEO (director xeral), pódese suplantar calquera conselleiro, asesor, coordinador ou mesmo cargos políticos e figuras públicas.
O que se pretende é que o Usuario confíe plenamente na comunicación recibida, por tratarse dunha persoa de confianza e cuxa solicitude debe ser atendida pase o que pase. De feito, na actualidade e a través da Intelixencia Artificial é cada vez máis doado crear comunicacións falsas utilizando a imaxe e a voz real dunha persoa (como podemos ver na imaxe de exemplo, con rostros famosos). Ademais, para evitar que os Usuarios teñan tempo para pensar detidamente na resposta ou detectar fraudes, as solicitudes realizadas a través destes medios son case sempre sumamente urxentes.
Que implica isto?
Que, se o noso xefe nos pide urxentemente que cambiemos un contrasinal, descarguemos un ficheiro, realicemos unha transferencia ou lle facilitemos algún dato ou información, o máis probable é que lle axudemos canto antes, sen pensar moito en se que el/ela dinos que ten sentido.estas solicitando.
Como podemos detectar estes ataques?
- Contacto por outros medios: Unha chamada realizada a aquela persoa que nos solicita algo urxentemente permítenos comprobar se se trata dunha fraude ou dunha solicitude real. É moi importante que non intentemos facer esta comprobación respondendo á mesma mensaxe, porque poderiamos alertar ao ciberdelincuente da nosa sospeita e sería peor.
- Aplicando a lóxica común: dediquemos un tempo a pensar se o que se solicita é común ou mesmo se están a utilizar as canles indicadas nas políticas corporativas ou nos procedementos de traballo para este tipo de solicitudes. Vexamos algúns exemplos:
-
- Se os procedementos internos indican que o cambio de contrasinais debe ser solicitado por correo a un enderezo de soporte específico ou a través dunha plataforma específica, non confíe en ningunha chamada ou mensaxe de texto ou voz que poidamos recibir, sen estar seguro de que non o fagan. É un engano .
- Se temos prohibido enviar información por WhatsApp ou servizos similares, o noso superior nunca nos pedirá documentos ou datos confidenciais por este medio.
- Se é necesaria unha dobre aprobación ou verificación interna para realizar transferencias, non cambiamos a información de pago nin facemos este tipo de transaccións á lixeira. Por moi urxentes que sexan.
-
RECORDAMOS DE NUEVO: Se cres que facilitaches información persoal ou profesional, que non deberías revelar debido a este tipo de ciberataques, denúnciaa no centro de traballo, comunica ao Departamento de Informática, CISO ou DPO e no ámbito persoal, denuncia á autoridade policial.