¿Qué harías si tu jefe te manda un email en el que te pide que realices una transferencia a una cuenta bancaria?
La respuesta es rotunda, la harías.
Bien, si a eso le sumas:
- Te dice que la cuenta está ubicada en el extranjero
- Es de carácter urgente y va a estar incomunicado puesto que va a coger un avión y no va a poder hablar en las próximas horas o entrar a una reunión de extrema importancia.
- Te pide que no des ningún tipo de información a ningún compañero, que mantengas la confidencialidad de la transacción debido a la importancia del negocio
¿Te suena ya algo raro?
Si no es así, te contamos por qué huele a chamusquina, puesto que estamos ante un timo recurrente en el mundo digital.
El presidente o jefe de una determinada empresa, a través de un email (phishing) pide a cualquier empleado, especialmente aquellos que estén habilitados para emitir pagos por transferencias a nombre de la empresa o cuente con la información necesaria para hacerlo, la transferencia de X dinero a una cuenta ubicada en el extranjero.
Los defraudadores se aprovechan de la ausencia del jefe, que el mismo puede haber compartido en sus perfiles de redes sociales o, haber espiado los correos electrónicos del mismo mediante un malware espía.
Ya no es el típico caso de un email burdo y mal escrito, sino que estudian el email al que previamente han accedido para imitar su estilo de escritura. Incluso pueden haber robado las credenciales de acceso del jefe a su cuenta de correo para enviar el email desde su misma cuenta.
Esta estafa se conoce desde 2017, aunque los intentos son cada vez más sofisticados. Combinan llamadas y correos electrónicos, en los que se imita a algún ejecutivo de alto nivel, con comunicaciones “breves, concisas y ejecutiva”. Además se valen de la ayuda de supuestas consultorías o bufetes, usando alguna operación en curso (adquisición o importación de productos), que pueda justificar el pago.
Fuentes expertas, aseguran que desde 2016, se han producido unos 200 casos, aunque solo en ocho hubo fuga de dinero. Es un fallo de seguridad tan tonto, que los directivos de estas empresas se niegan a reconocer por vergüenza.
Desde la cuenta oficial de twitter de la Policía @policia, se ha advertido sobre el tipo de email que los cibermalos están remitiendo y más información sobre este delito:
¿Qué podemos hacer ante estas situaciones?
Lo más importante es la concienciación y formación del personal de la empresa. Unos trabajadores bien formados en materia de seguridad y protección de datos, antes estas situaciones, pondrán en duda este tipo de emails o llamadas.
También se pueden implantar procedimientos seguros para realizar transferencias, mediante el sistema de doble verificación mediante una llamada telefónica o SMS en la que el director, en este caso específico, autorice esta transferencia.
¿Podemos evitar el phishing?
Tal y como informa INCIBE, es posible en determinados casos:
- Si dudamos del remitente:
- Podemos comprobar de quien es el dominio (lo que va detrás de la @) en domaintools.com. También podemos comprobar si esa URL aloja algún malware utilizando el servicio gratuito de análisis de URL de virustotal.com
- En caso de que el correo electrónico no sea visible, podemos analizar los detalles de la cabecera y el mensaje. Os dejamos una guía sobre esto aquí
- Si el mensaje tiene adjuntos sospechosos:
- Habilitar la opción que permite mostrar la extensión de los archivos en el sistema operativo.
- Si dudamos de un archivo que hemos descargado podemos comprobar, antes de ejecutarlo, si contiene malware en la web de virustotal.com
- Si el mensaje nos invita a hacer clic en mensajes:
- Ante la mínima sospecha copiaremos el link y lo analizaremos en virustotal.com
- Los enlaces acortados, aquellos que no muestran el contenido original del enlace, pueden esconder sorpresas desagradables. Una opción es copiarlos en https://unshorten.it/ para que nos muestren su verdadero contenido.
Esperamos que os haya gustado y sido útil nuestro artículo.