Expertos de ciberseguridad reconocieron una nueva estafa que consiste en una supuesta llamada por parte del jefe o director de la empresa en donde trabaja la víctima. La empresa de seguridad digital, Kaspersky, aclara cómo reconocer este tipo de ataques y brinda recomendaciones de protección.
¿Cómo opera la estafa en la que se hacen pasar por tu jefe?
La víctima recibe una llamada, mensaje o correo electrónico por parte de un superior inmediato o el propio jefe de toda la compañía, dicen los especialistas.
Los atacantes advierten sobre una situación desagradable que se está desarrollando y supone multas o pérdidas económicas para la empresa; así como problemas para su área e, incluso, un posible despido. Así es como operan:
- Los estafadores se hacen pasar por un “directivo de nivel C” o un superior con el que la víctima no tiene tanto contacto para que sea difícil de identificar la suplantación.
- Es posible que el atacante conozca a la víctima en cierta medida para saber cómo vulnerarle.
- El “jefe” pedirá una transacción para arreglar el problema y contactará a la víctima con un contratista externo para resolver el problema como:
- “Un empleado bancario”
- “Un auditor”
- La solicitud del estafador siempre será urgente para que la persona no se detenga a analizar la situación.
- Los atacantes pedirán confidencialidad absoluta sobre el problema y las exigencias para resolver el asunto.
Fuente: Kaspersky
[TE RECOMENDAMOS: No caigas en estafas con “deepfake”, te roban tu dinero: ¿cómo identificar estos fraudes con IA?]
Los estafadores pueden inventar que hay una filtración de datos contables que pone en peligro la cuenta de la víctima o que debe mantener cerrada la brecha de efectivo de la empresa hasta que se realice una auditoría, según los expertos.
La víctima se ve directamente afectada cuando realiza una transacción secreta a algún proveedor como un bufete de abogados para que le ayude a resolver su problema o transfiera el dinero de la empresa a una cuenta “segura”.
Por su parte, “los empleados que no manejan dinero serán blanco de ataques que buscan obtener datos de la empresa, como contraseñas de sistemas internos o de sus propios fondos”, dice Kaspersky.
En cualquier caso, los atacantes pedirán a la víctima que utilice su dinero de alguna de las siguientes maneras:
- Transferirlo a otra cuenta
- Pagar tarjetas de regalo o vales
- Retirarlo y entregárselo a una “persona de confianza”
Fuente: Kaspersky
Para ser aún más convincentes, los estafadores pueden prometerle a la víctima una generosa compensación por sus gastos y esfuerzos, pero más adelante. Esto no sucede.
¿Cómo logran ejecutar este tipo de ataques?
Para realizar las llamadas, los atacantes utilizan servicios de suplantación de números u obtienen una copia ilegal de la tarjeta SIM.
- El identificador de llamadas de la víctima muestra entonces el número de teléfono general de la empresa o incluso el de su propio jefe.
Los estafadores crean una nueva cuenta de mensajería instantánea o de correo electrónico con el nombre del directivo y, en casos más sofisticados, piratean su correo electrónico corporativo o sus cuentas personales.
Asimismo, los responsables maliciosos pueden utilizar generadores de voz deepfake, por lo que una voz familiar al otro lado no puede garantizar la autenticidad de la persona que llama.
[TE PODRÍA INTERESAR: ¡Cuidado! Advierten por robos al estilo “Inception” con lentes de realidad virtual]
¿Cómo protegerte de esta estafa?
Los estafadores encuentran los datos de la víctima a través de redes sociales y múltiples filtraciones de datos. De esta manera, pueden hallar la siguiente información:
- Nombre completo de la víctima
- Nombres de sus superiores inmediatos
- Nombre del director general de la empresa
- Nombres de los empleados de los departamentos importantes, como contabilidad
- Nombres exactos de los departamentos
- Fotografías de estas personas para crear perfiles de mensajería instantánea convincentes
- Muestras de voz para crear deepfakes de audio.
Fuente Kaspersky
Para evitar caer en la estafa de los atacantes que se hacen pasar por los jefes de las víctimas, la empresa de ciberseguridad suscribe las siguientes recomendaciones:
- Tómatelo con calma y no entres en pánico: Mantén la calma y confirma los hechos.
- Presta atención a la dirección, el teléfono y el nombre de usuario del remitente: confirma que sean sus datos.
- Presta atención a los pequeños detalles: Como la forma en que esa persona se dirige generalmente a ti.
- Si recibes una solicitud fuera de lo normal, debes alertar al resto
- Consulta con tus compañeros de trabajo si te piden guardar el secreto del problema
- Advierte a tus compañeros de trabajo y a los funcionarios encargados de hacer cumplir la ley.
La estafa de la falsa llamada del jefe también se ha identificado en Latinoamérica, razón por la que Kaspersky advirtió por este tipo de ataques el pasado 3 de abril.