Los estafadores cibernéticos continuamente innovan nuevos medios para extraer información valiosa de víctimas inocentes. Una nueva forma de fraude cibernético es explotar la relación cercana entre los Directores Generales y los Directores Financieros. La identificación de esta amenaza — y los medios para prevenirla — son importantes para los empleados de sistemas, finanzas y cumplimiento.
Muchos Peces en el Mar
Primero, algunas definiciones. “Phishing,” uso de las comunicaciones en línea tales como correos electrónicos masivos o llamadas telefónicas grabadas para engañar a los usuarios para que proporcionen información sensible, se han convertido en rutina. En la pesca, los criminales frecuentemente se presentan como una compañía legítima para obtener información financiera o personal. “Spear phishing” es un ataque de “phishing” contra individuos específicos dentro de compañías específicas, en las cuales los defraudadores utilizan correos electrónicos personalizados u otras formas de contacto en línea. El hermano menor de alto rendimiento de “spear phishing” — “whaling” — usa las mismas técnicas con la finalidad de señuelos a medida en la alta gerencia. El “spear phishing” sucesivo frecuentemente precede a un ataque de “whaling” exitoso, de acuerdo a como los criminales van subiendo la escalera corporativa con la meta final de separar a la compañía de su dinero o cometer espionaje corporativo.
El “Correo Electrónico Comprometedor de la Compañía” es un esquema similar cuyo objetivo son las compañías que trabajan con proveedores extranjeros. En este fraude, el criminal usa una dirección de correo electrónico falsa o pirateada de una persona de la compañía para solicitar a la compañía realizar una transferencia urgente a la cuenta del pirata informático.
Este artículo explicará una forma del correo electrónico comprometedor de la compañía que toma elementos del “whaling” para tener como objetivo a los Directores Generales y Directores Financieros. Luego sugeriremos algunos métodos para derrotarlo.
En el “whaling”, los atacantes exitosos primero llegan a los sitios web sociales del ejecutivo, páginas web corporativas, y redacción profesional de tal forma que el correo electrónico o llamada telefónica que atrae al ejecutivo sea suficientemente personalizada como para evitar sospechas. El trabajo preliminar inicial del criminal también determina el nivel de acceso que el ejecutivo tiene a los secretos de la compañía o cual sería la forma más fácil de separar al ejecutivo de su dinero o credenciales o de los fondos de la compañía o propiedad intelectual. El estafador podría presentarse como el banco de la compañía, el banco personal del Director General, un vendedor de BMW, o un miembro de su familia. El objetivo del “whaling” tradicional es frecuentemente obtener la cuenta de banco u otra información personalmente identificable del ejecutivo, para su posterior uso en el robo de identidad.
A pesar que el “whaling” es realizado en pequeñas cantidades, talvez el ejemplo mejor conocido es uno grande. En el 2008, los estafadores enviaron a miles de ejecutivos un mensaje de correo electrónico que aparentemente contenía citaciones oficiales de una corte federal en San Diego. El texto del correo electrónico contenía el nombre del ejecutivo, compañía y teléfono. El enlace incorporado en el mensaje prometía acceso a la citación completa, y al ingresar, le solicitaba al destinatario descargar primero un explorador. El archivo descargado secretamente contenía un programa que capturaba las secuencias, las mismas que eran transmitidas de regreso a los piratas cibernéticos, capturando claves e información corporativa. En total, aproximadamente, 2,000 de los ejecutivos fueron víctimas del mismo.
Y estos crímenes persisten. En mayo del año pasado, el Departamento de Justicia de los Estados Unidos anuncio la acusación federal de cinco oficiales militares chinos de lo que equivalía a una gran operación de “whaling” contra seis compañías Americanas. En una de las compañías que fue víctima, estos oficiales presuntamente se presentaron como el Director General de la compañía al mandar un correo electrónico a aproximadamente 20 empleados, el mismo que contenía un enlace a programas maliciosos que les permitía a los oficiales acceso por la “puerta trasera” a las computadoras de la compañía.
Re-Colocando el anzuelo
La versión “whaling” del correo electrónico comprometedor de la compañía y una variante del esquema está actualmente de moda, tiene un retorno más inmediato — su única finalidad es separar a la compañía de efectivo.
El estafador primero piratea o crea un correo falso de la dirección de correo del Director General. Un correo falso es una dirección de correo que parece ser la misma que la dirección del Director General, pero en realidad es enviado de otra cuenta de correo escondida. Un correo falso también se puede aproximar a la dirección del correo electrónico pero, por ejemplo, agrega una letra adicional al texto que precede al“@,” cambia la letra “l” a un digito “1,” o agrega una variación alterna del estándar corporativo, tal como el uso de “jeclabby@” (observe la inicial del medio incorporada) en vez de “jclabby@”.
Después de lograr la habilidad de mandar un correo electrónico que parece ser el del Director General, el estafador envía un correo electrónico de dicha dirección a otro ejecutivo con la autoridad para transferir un gran monto de dinero con breve aviso, y este es frecuentemente el Director Financiero. Este correo electrónico contendrá instrucciones para realizar la transferencia del dinero corporativo a una nueva cuenta de un proveedor corporativo conocido o de un socio de la compañía, frecuentemente a un banco en el extranjero, así como, de realizarlo lo más rápido posible. El Director Financiero con la intención de ser lo más atengo posible con el Director General, dejará todo para ejecutar la transferencia. En el momento que la compañía se da cuenta que la transacción no estaba autorizada, a veces al llamar al proveedor a confirmar el pago, el dinero no está hace mucho en la cuenta del destinatario o de otra forma es irrecuperable.
Este esquema es exitoso debido a que el correo electrónico falso frecuentemente contiene un archive PDF de una facture que parece ser de una compañía real que realiza negocios con la compañía que es víctima, y debido a que el texto e información de encabezado del correo electrónico contiene las características de una comunicación corporativa real para la compañía.
Pero dicho esquema también es exitoso porque el criminal utiliza técnicas conocidas colectivamente como “ingeniería social,” una forma de manipulación en la cual el conocimiento del comportamiento humano es usado para influenciarlo. Mediante el uso de la ingeniería social, el criminal obtiene dinero, información o acceso no por medio de un código sofisticado o fuerza bruta de la potencia de la computadora, por el contrario a través de las herramientas más tradicionales del timador. En este caso, el estafador se casa con un sentido de urgencia artificial (“¡esto debe ser realizado inmediatamente!”) del deseo del empleado de complacer a su jefe. El esquema funciona porque la relación especial del Director Financiero con el Director General nubla su visión del fraude que está justo en frente de él.
Como mantenerse lejos del Plato de Fondo
La recomendación de cerrar su puerta en la noche no lo detendrá de abrirle la puerta a un criminal vestido de oficial de policía. De forma similar, los software de “firewalls” y antivirus tienen efecto limitado contra un correo electrónico comprometedor de la compañía dirigido a ejecutivos senior en esta modalidad. Las siguientes recomendaciones lo ayudarán a desarrollar un programa en su compañía para combatir este tipo de fraude:
- Refuerce los Controles Relacionados con las Transferencias Irregulares: Revise y refuerce los controles en torno a las transferencias bancarias, y en particular, a las transferencias bancarias internacionales. Esto podría incluir (i) requerir dos formas de comunicación (correo electrónico y teléfono, texto y correo electrónico, etc.) antes de emitir una transferencia; (ii) requerir aprobaciones de dos personas diferentes además del solicitante para realizar una transferencia; o (iii) autentique el contacto con la parte solicitante con el supuesto proveedor extranjero antes de realizar cualquier transferencia internamente autorizada. En el punto (i) anteriormente indicado, otra buena práctica es que el destinatario de la solicitud del Director General (en nuestros ejemplos, el Director Financiero), inicie la llamada de seguimiento a una compañía conocida o número de celular, en vez de responder al “llámame a xxx-xxx-xxxx para cualquier pregunta,” debido a que el número podría ser parte del correo electrónico falso. Las compañías que enfrentan ataques repetidos también podrían utilizar disposiciones más complejas, incluyendo el uso de claves verbales alternadas. Las compañías que han crecido rápidamente pero que aún se apoyan en métodos informales de comunicación con relación al pago de proveedores son particularmente susceptibles a este fraude.
- Mejore el Entrenamiento para el Personal de Finanzas: Proporcione entrenamiento regular y periódico a todos los ejecutivos y empleados sobre el fraude informático, incluyendo “phishing” y el correo electrónico comprometedor de la compañía, adaptado particularmente a la descripción de las funciones del empleado, de tal forma que ellos entiendan el peligro que estos ataques representan e identifiquen potenciales fraudes. Este entrenamiento deberá ser a medida y de forma resumida para los ejecutivos. Para los empleados del nivel de línea de finanzas o tesorería, incluyendo aquellos que realizan las trasferencias, el entrenamiento deberá incluir instrucciones detalladas de que las transferencias sospechosas podrán y deberán ser cuestionadas en la cadena de mando corporativo, sin represalias, así como, que parte de la evaluación anual del empleado incluirá el análisis de su contribución a la detección de fraude. La detección de este tipo de fraude podrá ser incluida en el entrenamiento anual de la compañía sobre el fraude en el pago a proveedores.
- Financie y Audite la Tecnología de la Compañía: Mantenga su software anti-phishing, sistema operativo, y exploradores actualizados con las últimas actualizaciones, así como, fortalezca y financie sus sistemas y personal de seguridad de datos en proporción a los riesgos que su compañía enfrenta. Asegúrese que sus pruebas de penetración regulares incluyan el correo electrónico comprometedor de la compañía, y otros intentos de iniciar una transferencia mediante correos electrónicos directos al personal de finanzas.
La amenaza del “whaling” debe ser tomada seriamente por las compañías de todos los tamaños; y particularmente por compañías que se apoyan en pagos acelerados, que tienen proveedores con múltiple o cambiante información del banco receptor, y en los casos que los ejecutivos trabajan remotamente uno del otro. En cuestión de segundos los criminales pueden comprometer información sensible, transferir dinero internacionalmente, y dejar a las compañías devastadas. Para minimizar la susceptibilidad a dicha brecha, las compañías deben armarse con una combinación de sensibilización, entrenamiento y preparación en las defensas del sistema.
Retirando el Anzuelo
Si usted cree que su compañía ha sido víctima de un ataque, comuníquese con las fuerzas policiales, tales como la Oficina Federal de Investigación, el Servicio Secreto de los Estados Unidos (a través del Grupo de Acción contra Crímenes Electrónicos en su ciudad), o estado o fuerzas policiales locales, para reportarlo. Si el ataque es capturado en progreso o detectado poco después de la transferencia bancaria, involucre a las fuerzas policiales inmediatamente. La relación de las fuerzas policiales federales con los bancos y el sistema internacional de transferencia de dinero, particularmente, podría permitir la recuperación de los fondos o, por lo menos, la recolección de evidencia para una persecución exitosa.
Estos ataques son vergonzosos para los ejecutivos senior e involucran la pérdida de dinero real. Por lo tanto, trabajar a través de las consecuencias para determinar lo sucedido, si es que se puede hacer algo para recuperar los fondos, y como prevenir un ataque futuro, es una tarea compleja. Considere involucrar asesoría experta externa para trabajar en nombre suyo con las fuerzas policiales con el fin de revisar la evidencia, monitorear los esfuerzos por rastrear los fondos desembolsados, y proteger los intereses de la compañía. Al lidiar con este tipo de ataque, lo último que una compañía necesita, es estar solo en el mar.
El autor agradece a Colton Peterson, un sobresaliente estudiante de leyes del tercer año de la Escuela de Leyes de Vanderbilt, por su asistencia con este artículo durante su asociación de verano en la firma.