How do scammers get access to such detailed information about our company and employees?

Scammers use publicly available sources like LinkedIn company pages, SEC filings, company websites, and social media profiles to map organizational hierarchies and gather employee names. They also purchase leaked data from data breaches, monitor press releases about acquisitions or business dealings, and sometimes conduct surveillance by phoning employees to extract information. More sophisticated criminals may monitor your company's email communications if they've compromised an employee's account or internet connection.

What's the difference between CEO fraud and regular phishing emails?

CEO fraud is highly targeted and personalized to your specific company and employees, often referencing real business relationships and accurate organizational details. Regular phishing casts a wide net with generic messages hoping some recipients will respond. CEO fraud also typically targets specific individuals with financial authority and uses social engineering to create urgency, whereas phishing usually just tricks people into clicking malicious links or downloading infected files.

Can't our email system stop these fraudulent emails automatically?

Modern email security tools can catch obvious spoofing attempts and some variants, but sophisticated CEO fraud often passes through because scammers use legitimate email services, lookalike domains, or compromised company email accounts. Email authentication standards like SPF and DMARC help but aren't foolproof. The most effective defense combines email filtering with human verification procedures for financial requests, since even perfect email security won't stop a scammer using a nearly-identical domain address.

If our company falls victim to CEO fraud, can we recover the money?

Recovery is extremely difficult once funds reach overseas accounts, which happens in most cases within hours. If the receiving bank is in the U.S., there's a small window (typically 24-48 hours) to request the bank freeze and return funds, but international transfers are rarely recoverable. This is why prevention through verification procedures is far more important than recovery efforts. Immediately contact your bank and law enforcement (FBI IC3) if fraud occurs, but focus primarily on preventing future incidents.

Should we hold employees liable financially if they fall victim to CEO fraud?

Holding employees financially responsible for CEO fraud is counterproductive and often illegal under employment laws. Scammers specifically exploit normal business processes and social engineering; employees acting in good faith to fulfill what appears to be a legitimate executive request should not bear financial responsibility. Instead, investigate how the scammer bypassed controls, improve verification procedures, and provide non-punitive retraining to help employees recognize similar attempts in the future.

Critical Average Loss: $50,000 Typical Duration: 1-7 days

Fraude de CEO: Cómo los estafadores suplanten ejecutivos

El fraude de CEO, también llamado compromiso de correo electrónico empresarial (BEC), es una estafa sofisticada en la que los delincuentes suplatan a ejecutivos de empresas para engañar a los empleados y que transfieran fondos o información confidencial. El estafador generalmente se dirige a departamentos de finanzas o empleados con acceso a cuentas empresariales, creando una falsa sensación de urgencia para eludir los procedimientos normales de verificación. Según el FBI, los esquemas de BEC cuestan a las organizaciones más de $2.7 mil millones anuales, con pérdidas promedio por incidente entre $50,000 y $200,000. Esta estafa ha evolucionado significativamente desde 2013, cuando surgió por primera vez; las variantes modernas ahora incluyen esquemas de desviación de nómina, fraude de pago a proveedores y solicitudes de transferencia bancaria disfrazadas como adquisiciones confidenciales. A diferencia de los ataques de phishing que lanzan una red amplia, el fraude de CEO es altamente dirigido e investigado, con estafadores estudiando jerarquías empresariales, relaciones entre empleados y procesos financieros antes de lanzar ataques.

Common Tactics How to Identify How to Protect Yourself Real-World Examples Frequently Asked Questions

Common Tactics

• Enviar correos electrónicos desde direcciones de correo falsificadas o similares que imiten la dirección real del CEO o CFO, a menudo diferenciándose por un carácter o usando nombres de dominio similares como 'empresanombre.com' en lugar de 'empresa.com'.
• Crear urgencia artificial afirmando una adquisición confidencial, transferencia bancaria de emergencia o asunto comercial urgente que requiere acción inmediata antes del horario comercial normal o fuera de los procedimientos normales de verificación.
• Solicitar transferencias bancarias a cuentas bancarias recién abiertas, billeteras de criptomonedas o cuentas en el extranjero, a menudo disfrazadas como pagos a proveedores, bonificaciones de empleados o honorarios de liquidación que parecen plausibles para el personal de finanzas.
• Utilizar información recopilada de LinkedIn, sitios web de empresas y redes sociales para hacer referencia a empleados, proyectos o detalles financieros específicos que hagan que la solicitud parezca legítima e informada.
• Instruir a las víctimas para que mantengan absoluto secreto y eviten discutir la transacción con otros empleados, alegando que el asunto es confidencial debido a discusiones de adquisición, problemas regulatorios o cuestiones legales.
• Hacer seguimiento con correos electrónicos de presión adicionales o llamadas de 'abogados' o 'contadores' que se hacen pasar por terceros que refuerzan la urgencia y legitimidad de la solicitud financiera.

How to Identify

Correos electrónicos de ejecutivos solicitando transferencias bancarias inusuales, especialmente a nuevos proveedores o cuentas, o pidiendo eludir los procesos normales de aprobación de pago sin justificación comercial clara.
Direcciones de remitente casi idénticas a los correos electrónicos de ejecutivos conocidos pero que contienen variaciones ortográficas sutiles, extensiones de dominio alternativas o uso de servicios de correo electrónico externos en lugar de dominios empresariales.
Solicitudes marcadas como altamente confidenciales, urgentes o sensibles al tiempo con instrucciones para evitar discutir el asunto con departamentos de contabilidad, legal u otros departamentos que normalmente verificarían tales transacciones.
Inconsistencias de gramática, tono o formato en correos electrónicos de ejecutivos, como fraseología inusual, falta de información de contacto o ausencia de firmas de correo electrónico estándar utilizadas típicamente por la dirección de la empresa.
Solicitudes de transferencia bancaria a proveedores desconocidos, nuevos beneficiarios o cuentas en diferentes países, particularmente cuando el ejecutivo solicitante normalmente se comunica a través de otros canales o nunca ha solicitado transferencias bancarias anteriormente.
Comunicaciones de seguimiento de supuestos abogados, contadores o asociados comerciales que agreguen presión y legitimidad confirmando detalles de la transacción o proporcionando documentación legal falsa.

How to Protect Yourself

Establecer protocolos de verificación obligatorios para todas las transferencias bancarias y transferencias de fondos que excedan un umbral especificado ($10,000+), requiriendo confirmación verbal a través de un número de teléfono conocido, no uno proporcionado en el correo electrónico.
Crear una lista de direcciones de correo electrónico y preferencias de comunicación para todos los ejecutivos en toda la empresa, y entrenar a los empleados para verificar solicitudes a través de canales alternativos (llamada telefónica a un número conocido, verificación en persona o correo electrónico secundario).
Implementar autenticación multifactor en todas las cuentas de correo electrónico, particularmente aquellas con acceso financiero, y habilitar estándares de autenticación de dominio de correo electrónico (SPF, DKIM, DMARC) para prevenir falsificación de correo electrónico.
Establecer una política que requiera que las solicitudes de transferencia bancaria siempre sean aprobadas por al menos dos empleados en diferentes departamentos, con rastros de aprobación documentados separados de las comunicaciones por correo electrónico.
Realizar capacitación regular de conciencia de seguridad enfocada específicamente en fraude de CEO, incluyendo correos electrónicos de phishing simulados y escenarios que prueben la capacidad de los empleados para identificar comunicaciones falsificadas y seguir procedimientos de verificación.
Monitorear actividad anómala de cuentas, como reglas de reenvío de correo electrónico, inicios de sesión inesperados en ubicaciones o acceso desde nuevos dispositivos a cuentas ejecutivas, que pueden indicar compromiso de cuenta antes de que ocurra el fraude.

Real-World Examples

Un gerente de finanzas en una empresa manufacturera de tamaño medio recibió un correo electrónico del 'CEO' solicitando una transferencia bancaria urgente de $85,000 a una nueva cuenta de proveedor para el cierre de una adquisición confidencial ese día. El correo electrónico provenía de un dominio que se diferenciaba por una letra del dominio real de la empresa e incluía una solicitud de mantener el asunto en privado. En pocas horas, el empleado transfirió los fondos sin seguir el proceso normal de aprobación de tres personas de la empresa. Cuando el CEO real regresó de una reunión con clientes y preguntó sobre la transferencia, el dinero ya había sido movido a través de múltiples cuentas internacionales y era irrecuperable.

Un director de recursos humanos en una empresa de tecnología recibió lo que parecía ser un mensaje del CFO solicitando información de W-2 de empleados y detalles de depósito directo para 'actualizaciones del sistema de nómina'. El estafador obtuvo acceso a información personal de 240 empleados, que luego fue utilizada en esquemas de robo de identidad y fraude de reembolso de impuestos. La dirección de correo electrónico utilizada era casi idéntica a la dirección real del CFO pero usaba un dominio ligeramente diferente. El personal de recursos humanos no verificó a través de sus canales normales porque la solicitud provenía de alguien que 'reconocían' e involucraba procesos empresariales estándar.

El departamento de contabilidad de una startup recibió múltiples correos electrónicos durante tres días del cofundador de la empresa solicitando transferencias bancarias totalizando $180,000 para gastos de relaciones con inversionistas y honorarios de liquidación legal relacionados con una adquisición pendiente. Los correos electrónicos incluían referencias específicas a miembros de la junta directiva y detalles financieros encontrados en documentos privados de inversores de la empresa. Las llamadas de seguimiento de alguien que se hacía pasar por el abogado de la empresa reforzaban la urgencia. El equipo de finanzas realizó las dos primeras transferencias antes de darse cuenta de que los correos electrónicos eran fraudulentos cuando la asistente real del cofundador llamó para confirmar un pago completamente diferente.

Frequently Asked Questions

¿Cómo obtienen los estafadores acceso a información tan detallada sobre nuestra empresa y empleados?

Los estafadores utilizan fuentes disponibles públicamente como páginas de empresas en LinkedIn, presentaciones ante la SEC, sitios web de empresas y perfiles de redes sociales para mapear jerarquías organizacionales y recopilar nombres de empleados. También compran datos filtrados de brechas de datos, monitorean comunicados de prensa sobre adquisiciones o transacciones comerciales y, a veces, realizan vigilancia llamando a empleados para extraer información. Los delincuentes más sofisticados pueden monitorear las comunicaciones de correo electrónico de su empresa si han comprometido la cuenta de un empleado o la conexión a Internet.

¿Cuál es la diferencia entre fraude de CEO y correos electrónicos de phishing regulares?

El fraude de CEO está altamente dirigido y personalizado a su empresa específica y empleados, a menudo haciendo referencia a relaciones comerciales reales y detalles organizacionales precisos. El phishing regular lanza una red amplia con mensajes genéricos esperando que algunos destinatarios respondan. El fraude de CEO también generalmente se dirige a individuos específicos con autoridad financiera y utiliza ingeniería social para crear urgencia, mientras que el phishing generalmente solo engaña a las personas para que hagan clic en enlaces maliciosos o descarguen archivos infectados.

¿No puede nuestro sistema de correo electrónico detener automáticamente estos correos electrónicos fraudulentos?

Las herramientas modernas de seguridad de correo electrónico pueden detectar intentos obvios de falsificación y algunas variantes, pero el fraude de CEO sofisticado a menudo pasa porque los estafadores utilizan servicios de correo electrónico legítimos, dominios similares o cuentas de correo electrónico empresariales comprometidas. Los estándares de autenticación de correo electrónico como SPF y DMARC ayudan pero no son infalibles. La defensa más efectiva combina el filtrado de correo electrónico con procedimientos de verificación humana para solicitudes financieras, ya que incluso la seguridad de correo electrónico perfecta no detendrá a un estafador que usa una dirección de dominio casi idéntica.

Si nuestra empresa es víctima de fraude de CEO, ¿podemos recuperar el dinero?

La recuperación es extremadamente difícil una vez que los fondos llegan a cuentas en el extranjero, lo que sucede en la mayoría de los casos dentro de horas. Si el banco receptor está en los EE.UU., hay una pequeña ventana de tiempo (típicamente 24-48 horas) para solicitar al banco que congele y devuelva los fondos, pero las transferencias internacionales rara vez se recuperan. Por eso la prevención a través de procedimientos de verificación es mucho más importante que los esfuerzos de recuperación. Póngase en contacto inmediatamente con su banco y las fuerzas de seguridad (FBI IC3) si ocurre fraude, pero enfóquese principalmente en prevenir incidentes futuros.

¿Deberíamos responsabilizar financieramente a los empleados si se convierten en víctimas del fraude de CEO?

Responsabilizar financieramente a los empleados por fraude de CEO es contraproducente y a menudo ilegal según las leyes de empleo. Los estafadores específicamente explotan procesos comerciales normales e ingeniería social; los empleados que actúan de buena fe para cumplir lo que parece ser una solicitud ejecutiva legítima no deben asumir responsabilidad financiera. En su lugar, investigue cómo el estafador eludió los controles, mejore los procedimientos de verificación y proporcione capacitación de refuerzo no punitiva para ayudar a los empleados a reconocer intentos similares en el futuro.

Empezar Aquí

Verificación de seguridad

Inteligencia

Herramientas e informes

Servicios premium

Extensión y API