Recientemente se ha detectado un número creciente de casos de un timo de Suplantación de identidad en RRHH (Recursos Humanos). El objetivo es hacerse pasar por uno de los trabajadores de la empresa para ponerse en contacto con el departamento de RRHH y solicitar un cambio de cuenta bancaria para recibir su nómina. La nueva cuenta es propiedad de los ciberdelincuentes que de este modo recibirán el ingreso mensual del empleado.
Esta técnica es conocida como email spoofing y se basa en la suplantación de identidad en RRHH del remitente. Esto es posible si la cuenta del remitente ha sido comprometida o simplemente emulando el dominio legítimo del remitente mediante técnicas de cybersquating. Por ejemplo, si las direcciones de correo de la empresa son del tipo nombreempleado.apellido@empresa.es los delincuentes podrían utilizar una dirección como nombreempleado.apellido@empresa.eu. El receptor del correo podría no percatarse de la diferencia en el dominio debido a su parecido.
Las técnicas de cibersquating más conocidas son:
- Adición. Consiste en añadir un carácter al final del nombre de dominio “empresas.es”.
- Sustitución. Se cambia un carácter del nombre de dominio por otro “enpresa.es”
- Homográfico. Se sustituye un carácter por otro que a simple vista resulta similar “ennpresa.es”. En esta técnica también se pueden utilizar diferentes alfabetizaciones cuyos caracteres son similares al alfabeto latino “emprésa.es”, cuando en realidad pueden pertenecer a otro como por ejemplo al cirílico.
- Separación. Consiste en añadir un guion en alguna parte del nombre de dominio “em-presa.es”.
- Inserción. Se añade un carácter entre el primero y el último del nombre de dominio “enmpresa.es”.
- Omisión. Se elimina un carácter “presa.es”.
- Subdominio. Radica en registrar un nombre de dominio con el nombre parcial del legítimo y añadir los caracteres restantes por medio de un subdominio “empre.sa.es”.
- Trasposición. Alternación del orden de los caracteres del nombre de dominio “empersa.es”.
- Cambio de dominio. Se utiliza un dominio libre pero utilizando el mismo nombre de dominio “empresa.eu”.
- Otros. Algunas otras técnicas utilizadas consisten en añadir “w” al comienzo del nombre o “com” al final, “wwwempresa.es” “empresacom.es”.
Solución:
Los ciberdelincuentes cada vez usan técnicas más depuradas que dificultan que podamos distinguir un correo legítimo del que no lo es. Se valen de la ingeniería social o de las infecciones por malware espía para obtener información de la empresa, como por ejemplo los correos electrónicos de la plantilla, pasando desapercibidos y así poder llevar a cabo estafas en suplantación de identidad en RRHH. Es importante que ante la mínima duda analicemos detenidamente el correo, prestando especial atención a la cabecera y a las posibles re-direcciones que el correo pueda haber sufrido.
Además, para evitar que espíen nuestro correo electrónico y aplicar contramedidas contra posible infección es necesario:
- Tener el sistema operativo y todas las aplicaciones actualizadas para evitar posibles infecciones o intrusiones que afectan a sistemas desactualizados;
- Instalar y configurar filtros antispam y un buen antivirus; mantenerlo al día, actualizando el software y las firmas de malware;
- Desactivar la vista de correos en html en las cuentas críticas.
- Para todo lo relacionado con RRHH y los cobros de cualquier tipo, confirmar siempre, por un medio alternativo al email, la identidad del autor.
