{"id":17843,"date":"2021-01-08T11:21:16","date_gmt":"2021-01-08T09:21:16","guid":{"rendered":"https:\/\/dev01.urquiabas.com\/?p=17843"},"modified":"2024-06-10T13:53:14","modified_gmt":"2024-06-10T11:53:14","slug":"lestafa-del-c-e-o-ciber-atac-i-phising","status":"publish","type":"post","link":"https:\/\/urquiabas.com\/ca\/lestafa-del-c-e-o-ciber-atac-i-phising\/","title":{"rendered":"L’estafa del C.E.O: Ciber atac i Phising"},"content":{"rendered":"

Acostuma a ser habitual que empreses com KPMG, Deloitte, PWC o Ernst & Young assessorin grans empreses en compres internacionals. Sota aquesta m\u00e0scara, la companyia farmac\u00e8utica Zendal, ha estat objecte d’una milion\u00e0ria estafa, a l’\u00e9sser enganyat el Director Financer i aconseguir que, en quatre dies, de l’19 a el 23 de novembre passats, realitz\u00e9s una vintena de transfer\u00e8ncies per un valor total de 9,7 MM d’euros amb una metodologia coneguda com l’estafa del C.E.O.<\/p>\n

 <\/p>\n

Com es va dur a terme l’estafa?<\/span><\/h2>\n

Els estafadors es van valdre de la imatge de serietat de la companyia suplantada per duu a terme el seu milionari pla. D’una banda, van suplantar la identitat del responsable de l’empresa (CEO) creant un compte de correu electr\u00f2nic corporatiu des de la qual van ordenar al seu subordinat que realitz\u00e9s les transfer\u00e8ncies amb total discreci\u00f3. Per una altra, es van fer passar per auditors de KPMG per girar per via telem\u00e0tica les ordres de pagament i les corresponents factures falses. L’empleat de l’empresa va confiar cegament en les ordres rebudes i va atendre tots els requeriments de pagament que li venien arribant des del compte fals de KPMG creada pels hackers. Tot i que la estafada no ha dit res m\u00e9s, \u00e9s m\u00e9s que probable que estigu\u00e9s pel mig l’argument de la confidencialitat davant l’adquisici\u00f3 immediata d’una nova empresa.<\/p>\n

El frau es va descobrir perqu\u00e8, davant la falta de liquiditat, el director financer va decidir parlar personalment de l’assumpte amb el seu cap, que va negar haver ordenat que efectu\u00e9s cap pagament a cap empresa. En aquell moment, ja era tard.<\/p>\n

Aquest tipus d’estafa \u00e9s coneguda com l\u2019estafa del CEO i est\u00e0 resultant un model d’atac molt lucratiu per als ciberdelinq\u00fcents.<\/p>\n

<\/p>\n

Atac a l’EMT de la ciutat de Val\u00e8ncia<\/span><\/h2>\n

Al setembre de 2019, L’Empresa Municipal de Transports (EMT) de Val\u00e8ncia va patir una estafa milion\u00e0ria pel mateix procediment: la seva cap d’administraci\u00f3 va transferir (varia segons les fonts) entre 4 i 5 milions \u20ac en 8 transfer\u00e8ncies a un compte bancari del Bank of China, situada a Hong Kong, creient que participava en una operaci\u00f3 de compra d’una societat, i que aquesta era confidencial i secreta, ja que aix\u00ed l’hi indicava en un correu Giuseppe Grezzi, el seu m\u00e0xim responsable, conseller de Mobilitat Sostenible de l’Ajuntament de Val\u00e8ncia.<\/p>\n

\u00c9s el mateix “modus operandi”: l’estafador truca o envia correus electr\u00f2nics fent-se passar per un alt c\u00e0rrec de la companyia (p. Ex. El CEO) i sol\u00b7licita que es faci un pagament urgent (a un banc internacional fora de UE) o que li envi\u00ef determinada informaci\u00f3 confidencial. Tamb\u00e9 li indica a l’empleat que no segueixi els procediments d’autoritzaci\u00f3 habituals. Les instruccions sobre com procedir pot donar-li posteriorment una tercera persona (en el cas anterior KPMG) i utilitzar expressions com “Confidencialitat”, “La companyia confia en tu”, “Ara mateix no estic disponible” i acostuma fer refer\u00e8ncia a una situaci\u00f3 delicada ( p. ex. una inspecci\u00f3 fiscal, una fusi\u00f3 o una adquisici\u00f3).
\n<\/p>\n

L’estafador estudia les seves v\u00edctimes<\/span><\/h2>\n

Per descomptat, l’estafador coneix b\u00e9 com funciona l’organitzaci\u00f3. El m\u00e9s habitual \u00e9s que tingui monitoritzats els correus electr\u00f2nics (que pr\u00e8viament ha hackejat) i hagi estat diversos mesos accedint al correu electr\u00f2nic de Grezzi, (a m\u00e9s a m\u00e9s d’altres membres de l’EMT) per estudiar els seus patrons de conducta, tant en la seva forma d’escriure, com en els seus mandats, per\u00f2 sobretot la seva relaci\u00f3 professional amb la cap d’administraci\u00f3, perqu\u00e8 quan portessin a terme la suplantaci\u00f3 aquesta no sospit\u00e9s res, com aix\u00ed va ser.<\/p>\n

En aquest cas, a m\u00e9s a m\u00e9s, la cap d’administraci\u00f3 va ser acomiadada fulminantment (per fer cas del que li deia el seu cap, o aix\u00ed ho va creure ella), quan l’origen va estar en una errada de seguretat que ocasionava una bretxa de seguretat inform\u00e0tica de primer nivell “Epic Fails”, en els servidors de correu electr\u00f2nic del tot poder\u00f3s ajuntament de Val\u00e8ncia.<\/p>\n

Per\u00f2, i si haguessin hackejat tots els comptes de correu de tots els regidors de l’ajuntament de Val\u00e8ncia per veure quin era la baula m\u00e9s feble? I, per qu\u00e8 es va triar el compte de Grezzi i com a v\u00edctima la de la cap d’administraci\u00f3 de l’EMT? I per qu\u00e8 l’EMT i no una altra?<\/p>\n

Aquest tipus de ciber atac est\u00e0 molt treballat. No \u00e9s una casualitat com el del “phishing” tradicional que realitzen enviaments massius indiscriminats. En el frau del CEO hi ha un treball previ de selecci\u00f3 de l’empresa i elecci\u00f3 de la v\u00edctima.<\/p>\n

S’afegeix, la possibilitat que els hackers hagin accedit a un altre tipus d’informaci\u00f3 com la de car\u00e0cter personal o confidencial d’ambdues, EMT i Ajuntament. En aquest cas \u00e9s imperatiu comunicar a l’AEPD, (Ag\u00e8ncia Espanyola de Protecci\u00f3 de Dades) la fallida de seguretat i esperar que no arribin reclamacions civils dels perjudicats.<\/p>\n

\"\"<\/a><\/p>\n

<\/p>\n

Es pot recuperar alguna cosa?<\/span><\/h2>\n

Arribats a aquest punt, res. Aquestes bandes de delinq\u00fc\u00e8ncia organitzada cometen els seus delictes des de la Deep i la Dark web<\/em> i solen tenir la seva central d’operacions f\u00edsica en pa\u00efsos africans (Nig\u00e8ria fonamentalment). La brigada de delictes telem\u00e0tics tindr\u00e0 f\u00e0cil descobrir la IP amb la qual s’ha realitzat el hackeig, a quants i a quins, per\u00f2 el normal \u00e9s que aquesta IP estigui allotjada a Nig\u00e8ria, G\u00e0mbia, Zimbabwe … etc. on un cop arribat all\u00e0, es perdr\u00e0 tot rastre del seu titular.<\/p>\n

El mateix passar\u00e0 amb els diners, res a fer. Un cop arribat a Hong Kong, que \u00e9s un parad\u00eds fiscal, en el cas que es demani comissi\u00f3 rogat\u00f2ria, no tindrem resposta, perqu\u00e8 hi ha el secret bancari. \u00c9s m\u00e9s, encara que ens donessin acc\u00e9s als comptes, el normal \u00e9s que utilitzin comptes m\u00f2bils o de salt, \u00e9s a dir, que canvien o saltin de pa\u00eds en pa\u00eds, per dificultar la seva tra\u00e7abilitat final i per descomptat el buidatge de les mateixes \u00e9s d\u2019immediat.<\/p>\n

I per acabar, alguna cosa ens diu molt clarament que no es tenia implantada a l’EMT cap alerta inicial o doble control de pagaments. Va ser el mateix banc que va avisar que s’estaven realitzant transfer\u00e8ncies inusuals (fora del patr\u00f3 financer particular de l’EMT). I encara sort, ja que el dany hagu\u00e9s pogut ser m\u00e9s gran.<\/p>\n

<\/p>\n

Com s’evita l’estafa del C.E.O?<\/span><\/h2>\n

Amb la conscienciaci\u00f3 de la direcci\u00f3 de l’empresa en la prevenci\u00f3, la informaci\u00f3 i la formaci\u00f3 dels treballadors.
\n<\/p>\n

Qu\u00e8 senyals ens poden alertar?<\/span><\/h2>\n