Un simple correu electrònic pot comportar pèrdues greus. Cada vegada més entitats reben intents de suplantació d’identitat per part de ciberdelinqüents que utilitzen una tècnica coneguda com a “frau del CEO”, també anomenada Business Email Compromise (BEC).
Es tracta d’una estafa en què es fan passar per càrrecs directius de l’organització i, amb missatges urgents i convincents, aconsegueixen que algú faci una transferència, compri targetes regal o faciliti informació delicada.
Si necessiteu assessorament o acompanyament en temes informàtics, podeu contactar amb el nostre equip de servei informàtic i t’assessorarà.
Es tracta d’una estafa en què es fan passar per càrrecs directius de l’organització i, amb missatges urgents i convincents, aconsegueixen que algú faci una transferència, compri targetes regal o faciliti informació delicada.
En què consisteix?
El mecanisme és senzill però molt efectiu. La persona responsable de finances o de gestió rep un correu electrònic que aparenta provenir de la presidència, gerència o direcció general de l’entitat.
El missatge demana amb urgència i confidencialitat fer un pagament o una compra i sol·licita que no se’n parli amb ningú més. Si no es detecta a temps, es poden arribar a perdre quantitats molt elevades, sovint difícils de recuperar. Aquest tipus d’atac juga amb tres factors clau: la urgència, la confiança i la por de desobeir un superior.
Per què passa?
Els ciberdelinqüents acostumen a investigar prèviament l’entitat a través de la seva web, xarxes socials o perfils professionals per aconseguir informació sobre qui ocupa determinats càrrecs.
També aprofiten moments en què la direcció no és fàcilment localitzable, com viatges, reunions o períodes de vacances. Els missatges solen incloure pressió temporal amb frases com “ho necessito abans de les 14 h” o “és confidencial”, que generen pressa i eviten que la persona afectada pugui consultar amb algú altre.
A més, amb l’avenç de la intel·ligència artificial, ja s’han detectat casos de deepfakes en què es falsifica la veu o la imatge dels directius en videotrucades o missatges d’àudio.
Com ens podem protegir?
La millor manera de prevenir aquest tipus de frau és establir protocols interns clars. Davant qualsevol petició de pagament urgent, és recomanable confirmar-la per un canal alternatiu i segur, com una trucada telefònica o un missatge intern. També és útil implantar el doble control en les transferències, de manera que dues persones hagin d’autoritzar els moviments d’un cert import. Una altra mesura important és verificar sempre els canvis de comptes bancaris de proveïdors abans de fer cap transacció i reduir la quantitat d’informació pública sobre els càrrecs i processos interns de l’entitat. La formació de l’equip és clau perquè tothom pugui identificar un intent de suplantació i actuar amb precaució.
Què fer si ens passa?
En cas de sospita o si ja s’ha efectuat un pagament fraudulent, és fonamental actuar de manera immediata. Cal contactar amb el banc per intentar aturar l’operació i denunciar el cas a la policia. També es pot trucar al 017, la línia gratuïta i confidencial de l’INCIBE, on es pot rebre suport especialitzat en ciberseguretat.
En el cas que hi hagi hagut pèrdua o filtració de dades personals, s’ha de comunicar a l’Autoritat Catalana de Protecció de Dades (APDCAT).
El frau del CEO és una amenaça real que creix a tot Europa i que afecta especialment les entitats petites i mitjanes, més vulnerables davant d’aquest tipus d’estafes. Prevenir-lo passa per establir procediments interns, reduir la sobreexposició d’informació i fomentar la cultura de la seguretat digital a les organitzacions.