Desde la masificación de internet, las estafas virtuales están a la orden del día, viéndose potenciadas durante la pandemia debido al aumento de tráfico de usuarios para mantenerse conectados con seres queridos o encontrar un entretenimiento en este encierro.
Y uno de estos tantos fraudes es el famoso “Fraude del CEO”, un engaño que desde BTR Consulting han estado siguiendo de cerca, debido a una serie de campañas de BEC-Business EMail Compromise o Compromiso de Correo Electrónico de Empresas dirigidas a ejecutivos de más de 1.000 compañías, recientemente en los Estados Unidos y Canadá.
Este timo se basa en un objetivo bien claro: engañar a empleados que tienen acceso a los recursos económicos de su compañía para que paguen a un proveedor falso o hagan una transferencia desde la cuenta de la compañía.
Desde BTR ya han registrado más de 40 casos en Argentina de los cuales cerca del 50% cayó en la trampa. En general se trata de víctimas (empresas e individuos) con presencia regional/global, que fueron estafadas mediante transferencias de entre u$S 500.000 y u$S 3.000.000, que llegan a cuentas de ciberdelincuentes.
Un dolor de cabeza
Los ataques BEC son un problema constante y costoso para las organizaciones, al punto de que en febrero, el FBI publicó su Informe de delitos en Internet, y señaló que recibió casi 24.000 quejas sobre estafas de BEC en 2019, con una pérdida total de U$S 1.7 mil millones y un aumento del 269% de tales estafas en el último trimestre del año pasado.
El modus operandi
- Un estafador llama o envía correos electrónicos haciéndose pasar por un alto cargo de la compañía (p. ej. el Director General).
- Conoce bien cómo funciona la organización.
- Solicita que se haga un pago urgente.
- El empleado transfiere los fondos a una cuenta controlada por el estafador.
- Las instrucciones sobre cómo proceder puede darlas posteriormente una tercera persona o por correo electrónico.
- Usa expresiones como "Confidencialidad", "La compañía confía en ti", "Ahora mismo no estoy disponible".
- Hace referencia a una situación delicada (p. ej. una inspección fiscal, una fusión o una adquisición).
- Solicita al empleado que no siga los procedimientos de autorización habituales.
Detalles para estar atento
- Correo electrónico o llamada telefónica no solicitados
- Presión y carácter de urgencia
- Comunicación directa con un alto cargo con el que normalmente no estás en contacto
- Solicitud fuera de lugar que contradice los procedimientos internos
- Solicitud de absoluta confidencialidad
- Amenazas, comentarios aduladores o promesas de recompensa
Qué hacer si sos empresa
- Ser consciente de los riesgos y asegurarse que los empleados también lo estén
- Motivar a los equipos de trabajo a ser precavidos cuando les soliciten un pago
- Implementar protocolos internos para los pagos
- Implementar un procedimiento para verificar la legitimidad de las solicitudes de pago recibidas por correo
- Establecer procedimientos para gestionar el fraude
- Revisar el contenido del portal web de la empresa, limitar la información y ser cauteloso en las redes sociales
Si sos empleado...
- Respetar estrictamente los procedimientos de seguridad vigentes para los pagos y las compras
- No saltarse ningún paso y no ceder a la presión
- Revisar siempre con cuidado las direcciones de correo a la hora de manejar información delicada o hacer transferencias
- En caso de duda sobre una orden de transferencia, consultar a un compañero experto
- Nunca abrir enlaces o adjuntos sospechosos recibidos por correo. Se debe tener especial cuidado al consultar nuestro correo personal en los ordenadores de la empresa
- Limitar la información y ser cauto en las redes
- No compartir información sobre el organigrama, la seguridad y los procedimientos de la compañía
Tu opinión enriquece este artículo: