A Policía Nacional alerta sobre o repunte en Galicia, nas últimas semanas de fraudes dixitais baseadas na suplantación de identidade, que están a afectar tanto ao tecido empresarial como aos traballadores de forma individual. Os ataques, que utilizan técnicas de enxeñería social avanzada, céntranse no desvío de fondos mediante a manipulación de procesos administrativos cotiáns.
Auxe da fraude BEC: Nóminas e Provedores no punto de mira
A fraude de compromiso de correo electrónico corporativo (BEC, polas súas siglas en inglés) converteuse nunha importante ameaza financeira para as empresas. Nesta modalidade, os atacantes logran acceso a contas de correo da empresa ou suplántanas visualmente para intervir en dúas áreas principalmente, segundo informa a Policía Nacional:
• Desvío de nóminas: O atacante faise pasar por un empregado da propia empresa e envía un correo ao departamento de Recursos Humanos solicitando un cambio urxente na súa conta bancaria para o ingreso da próxima nómina. Deste xeito a empresa transfire a nómina dun empregado directamente ás contas dos estafadores.
• Fraude de provedores: Os delincuentes interceptan facturas reais e as reenvían desde unha dirección case idéntica á do provedor, indicando que cambiaron os seus datos bancarios e solicitando que os pagos pendentes realícense a unha nova conta controlada pola organización criminal.
É con esta última modalidade coa que se viñeron estafando maiores cantidades de diñeiro nas últimas semanas en Galicia, tendo en contas que cada unha das estafas realizadas supón a perda de miles de euros.
A “Estafa do CEO” e o “Falso Repartidor”
Outra ameaza importante é a Estafa do CEO. Nesta os delincuentes suplantan a un alto directivo para presionar a empregados, e baixo unha suposta urxencia ou confidencialidade extrema, solicitan transferencias bancarias inmediatas.
Na comunidade galega, detectouse unha modalidade desta estafa, enfocada a todo tipo de empresas, independentemente do seu tamaño: a estafa do repartidor de mercancía. Nela, a empresa recibe un aviso falso do ciberestafador, que suplanta a unha empresa de mensaxería ou dun provedor, sobre un paquete ou mercancía bloqueada por un suposto pago pendente.
Este aviso chega normalmente mediante unha chamada ou un email a un empregado, demandando un pago inmediato para recibir unha mercancía supostamente importante. Utilizarán diferentes técnicas de enxeñería social, entre elas adoitan alegar que o xefe ou superior da empresa xa se puxo en contacto con eles e está ao corrente da necesidade de realizar o pago de forma inminente.
“O seu obxectivo é conseguir que o empregado faga algunha transferencia ou utilice o diñeiro da caixa, ou o seu propio, para comprar cartóns de prepago nalgún establecemento. Posteriormente o delincuente pediralle os códigos de cada cartón para poder baleiralas”, indica a Policía Nacional.
Recomendacións de Seguridade para Empresas e Empregados
Para mitigar estes riscos, dende a Policía Nacional ínstase as organizacións a implementar protocolos de verificación de dobre factor:
1. Validación por canle secundaria: Nunca realizar cambios en datos de pago (nóminas ou provedores) baseándose exclusivamente nun correo electrónico. Débese confirmar a solicitude mediante unha chamada telefónica a un número verificado previamente.
2. Exame de dominios de correo: Revisar minuciosamente a dirección do remitente. Os estafadores adoitan cambiar unha soa letra ou carácter do dominio orixinal , ou ben variar a súa orde.
3. Protocolos de autorización: Establecer que calquera transferencia de alta contía ou cambio de conta bancaria requira a firma ou autorización de polo menos dúas persoas.
4. Cultura da sospeita: Desconfiar de correos que soliciten accións rápidas ou que apelen ao medo e a urxencia extrema, así como de todo aquel que solicite unha acción que se saia do habitual.