Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Fraudes online: aprende a identificarlos

Fecha de publicación 18/02/2020
Autor
INCIBE (INCIBE)
Fraudes online: aprende a identificarlos

Hoy en día el fraude online es una de las ciberamenazas que más preocupa a las empresas. A través de la ingeniería social y las herramientas tecnológicas los ciberdelincuentes juegan sus cartas para engañar tanto a empresarios como a empleados. Este tipo de engaños normalmente se realizan a través del correo electrónico y tienen una motivación económica para el ciberdelincuente, el cual se lucra a través del engaño, la estafa y la extorsión.

¿Cuáles son los fraudes online más comunes?

Entre los casos más habituales se encuentra el email spoofing o suplantación de identidad por correo electrónico. Mediante esta técnica los ciberdelincuentes envían correos con remitente falso para enviar spam, difundir malware o llevar a cabo ataques de phishing suplantando la identidad de perfiles con capacidad de toma de decisiones en la empresa, proveedores, clientes, etc. La ingeniería social suele ser el aliado perfecto para que las víctimas no sospechen del engaño. Entre los principales casos de fraude, en los que se utiliza la suplantación de identidad, cabe destacar:

  • El falso soporte técnico de Microsoft: se trata de un fraude donde el estafador se hace pasar por un técnico de dicha compañía con el pretexto de solucionar ciertos problemas técnicos en el equipo. El objetivo es principalmente obtener información confidencial de la empresa.
  • El fraude del CEO: consiste en engañar a un empleado con capacidad para hacer movimientos bancarios o acceder a datos de cuentas de la empresa. Este recibe un correo, supuestamente de su jefe, ya sea el CEO, presidente o director de la empresa en cuestión, donde se le pide ayuda para que realice una operación financiera confidencial y urgente. El objetivo es transferir fondos de la empresa a la cuenta del timador.
  • El fraude de RRHH: esta vez el correo va dirigido al personal de Recursos Humanos de la empresa. En este correo el ciberdelincuente se hace pasar por un empleado solicitando un cambio de cuenta para el ingreso de su nómina. Al igual que el fraude del CEO, el objetivo es que la empresa transfiera dinero a la cuenta del estafador.

Otro de los fraudes más comunes es la extorsión, en el que el ciberdelincuente chantajea a la víctima con contenido que presume tener en su poder. En la sección de avisos encontramos ejemplos como:

  • Campaña de sextorsión: este tipo de campaña tiene muchas variantes, ya que los ciberdelincuentes van cambiando ligeramente el contenido del mensaje. El objetivo del correo es extorsionar a los destinatarios con un supuesto vídeo de contenido sexual, que se enviará a la lista de contactos de la víctima si esta no ingresa la cantidad demandada en bitcoins por los ciberdelincuentes.

Entre las extorsiones más extendidas en las empresas se encuentra el caso particular del ransomware. En esta ocasión, la extorsión se realiza a través de un malware que se introduce en los equipos de las empresas, y como en los casos anteriores, principalmente a través de un señuelo enviado por correo electrónico. En estos correos se insta a la víctima a descargar y ejecutar archivos con código malicioso que infectarán el equipo. El funcionamiento del ransomware es cifrar los archivos del equipo infectado para que ya no sean accesibles para el usuario. Normalmente se propaga a través de la Red, infectando todos los equipos de la organización. Los ciberdelincuentes piden una compensación económica a cambio de devolver el acceso a la empresa, y como siempre recomendamos, nunca accedas al chantaje, nadie te asegura la “buena voluntad” de los ciberdelincuentes a la hora de descifrar los archivos. Consulta los últimos casos de ransomware más significativos:

¿Cómo identificamos un correo fraudulento?

En la sección del blog de Protege tu empresa se encuentran un par de artículos que te ayudarán a identificar un correo fraudulento, y por ende, un intento de fraude.

Imagen que muestra uno de los correos fraudulentos detctados con asunto importantes cambios salario

 

Como ya hemos comentado en varias ocasiones, el correo electrónico es una de las herramientas más utilizadas por los ciberdelincuentes como puerta de entrada a las empresas, aunque no sea la única.

Centrándonos en el comercio online como objetivo, otra de las técnicas más lucrativas para los estafadores es la que se conoce como e-skimming o web skimming, utilizada con el fin de obtener información bancaria y personal de tiendas online legítimas y venderla en el mercado negro, así como realizar movimientos bancarios en su propio beneficio. Para llevar a cabo la estafa se valen de vulnerabilidades no parcheadas en el gestor de contenidos o de campañas de phishing. Una vez conseguido el acceso a la tienda modifican el gestor para que, cuando el cliente introduzca su información personal y bancaria, esta también llegue al estafador.

Con tanta tarjeta e identidades robadas, no menos importante, si tenemos una tienda online, es estar alerta sobre los pedidos sospechosos que indiquen posibles compras fraudulentas.

Terminamos este repaso a los fraudes más comunes con la suplantación web que consiste en copiar una web legítima y crear otra falsa, y así estafar a los clientes de un negocio online. La web fraudulenta utiliza el mismo diseño que la suplantada e incluso puede tener una URL similar, habitualmente, utilizando técnicas de cybersquatting. Para que los clientes accedan a la web falsa los timadores se valen de campañas de spam a través del correo electrónico o pagan anuncios para salir en los primeros puestos de los principales buscadores.

Además de los casos que acabamos de exponer existen otras estafas igual de habituales y quizá más conocidas, como las falsas oportunidades de empleo, conexiones gratuitas a Internet, ofertas fraudulentas de créditos, bonos promocionales o gangas, etc. Sigue nuestras historias reales para conocer las experiencias de otros empresarios y mejorar la ciberseguridad en tu empresa.

¿Cómo reportamos un fraude?

Por si no lo sabes, disponemos de una página en la que te contamos todo lo necesario para reportar un fraude. Esperamos que nunca tengas que utilizarlo, pero por si acaso, aquí dispones de toda la información: reporte de fraude.

Ahora conoces un poco más en profundidad los fraudes y engaños a los que está expuesta tu organización. Sigue siempre los consejos de Protege tu empresa y ve un paso por delante.