Actualitat

Hisenda llança una campanya destinada a institucions i entitats privades per a previndre els delictes de 'frau al CEO'

Hisenda llança una campanya destinada a institucions i entitats privades per a previndre els delictes de 'frau al CEO'

Hisenda llança una campanya destinada a institucions i entitats privades per a previndre els delictes de 'frau al CEO'

- CSIRT-CV ha detectat un augment de casos d'aquest frau que busca el desviament de fons amb ordres falses que simulen procedir d'un superior de l'organització
- José Manuel García Duarte incideix en el fet que l'objectiu de la campanya és "la conscienciació dels empleats i també de les organitzacions per a evitar ser víctimes d'aquestes estafes"



La Conselleria d'Hisenda, a través del Centre de Seguretat TIC de la Comunitat Valenciana, CSIRT-CV, ha posat en marxa la campanya "10 consells per a no ser víctima d'un frau al CEO" davant de l'increment de casos detectats en els últims mesos amb aquest tipus de delicte tant en institucions públiques com privades, i que tenen com a objectiu el desviament de fons amb ordres falses que simulen procedir d'un superior de l'organització.

"El nostre objectiu és conscienciar tots els empleats, especialment els que tenen capacitat per a gestionar els comptes i pagaments, per a no ser víctimes d'aquests enganys, evitar que es produïsquen pèrdues econòmiques i, per descomptat, conscienciar les empreses i institucions dels perills als quals estem exposats", ha assenyalat el director general de Tecnologies de la Informació (DGTIC), que, això sí, ha apuntat que "els membres de qualsevol organització haurien de ser la primera barrera davant d'aquests intents de frau que són cada vegada més difícils de detectar perquè estan molt perfeccionats, però haurien de comptar també amb el suport clar de les seues organitzacions, amb una aposta ferma per a enfortir els procediments i els sistemes de seguretat".

Aquest tipus d'engany consisteix a fer arribar un correu, remés suposadament per un superior de l'organització, a un empleat o empleada que tinga la possibilitat de fer transferències o accedir a dades de comptes, pressionar per a fer alguna operació financera o un canvi de compte, amb la indicació que és confidencial i urgent. Pot iniciar-se també sol·licitant informació sobre factures pendents, mitjançant un correu o telefonada suplantant aquest organisme.

"Els últims casos descoberts estaven perfectament organitzats i els correus eren molt creïbles, atés el nivell de coneixement de l'organització que presentaven, per la qual cosa hem d'extremar les precaucions", ha assenyalat José Manuel García Duarte.

Deu consells sobre ciberseguretat

"És important que si un empleat rep un correu en què se li sol·licita una transferència urgent comprove el domini del remitent i s'assegure que aquesta adreça coincideix exactament amb el compte de correu electrònic que corresponga, ja que els ciberdelinqüents fan xicotets canvis que passen desapercebuts", han assenyalat des de CSIRT-CV.

A més, han reiterat que, davant de qualsevol correu exigint transferències urgents amb qualsevol excusa d'un supòsit superior, o sol·licitant canvis en els comptes de pagaments, el millor és fer una comprovació telefònica per a parlar directament amb aquest superior, però mai utilitzant els telèfons que apareguen en el correu sospitós, sinó al contacte que es tinga en la base de dades o el directori de la mateixa organització. Tots els departaments han de tindre, a més, protocols de transaccions financeres clars i sòlids que cal complir estrictament en tots els casos.

"Cal sospitar de tots els correus, per molt creïbles que semblen, que indiquen canvis en comptes de proveïdors o la realització de transferències o cobraments amb caràcter confidencial i urgent perquè els ciberdelinqüents volen donar el mínim temps possible a la víctima per a evitar ser descoberts", ha apuntat el responsable de la DGTIC, que ha advertit que els atacants solen crear documents falsificats que inclouen capçaleres oficials i, fins i tot, signatures digitals falsificades molt creïbles que fan molt difícil la seua identificació.

Important també és la prevenció en la informació que es facilita a tercers, han recordat des del Centre de Seguretat, ja que "les campanyes més sofisticades de 'frau al CEO' solen estar precedides d'una fase d'investigació, en la qual l'atacant recapta informació sobre l'estructura orgànica i funcional de l'organisme, persones de contacte, factures, cobraments, contractes o fins i tot de la mateixa Plataforma de Contractació de l'Estat o webs oficials "per a conéixer quins concursos públics estan en marxa o quina informació creïble poden tergiversar".

Per això, han insistit que és fonamental que l'empresa dispose de procediments robustos de validació per a certes operacions, com l'exigència de la signatura digital o l'establiment de doble signatura per a operar amb imports que superen certes quantitats, "ja que sempre resultarà més difícil que fructifique un engany a dues persones que només a una".

Igualment, han incidit en el fet que "sempre cal desconfiar dels correus electrònics el text dels quals estiga mal redactat o amb faltes d'ortografia; evitar fer clic en qualsevol enllaç present en correus desconeguts, obrir documents de procedència incerta i, per descomptat, evitar enviar credencials d'accés mitjançant correu electrònic a ningú, encara que siga de confiança".

Un altre dels temes en els quals els experts recomanen fixar-se és en la sintaxi dels enllaços a pàgines web que arriben per correu electrònic, "ja que una lletra pot marcar la diferència i tampoc s'han d'introduir dades personals en pàgines web l'enllaç de les quals s'haja escurçat com bit.ly, cort.as, etc.

"Cal romandre sempre alerta, especialment a les propostes de canvi de comptes bancaris, peticions d'informació sobre factures pendents, així com a sol·licituds de canvi de contactes, de quanties de serveis contractats, canvis de resultats en processos d'adjudicació o a sol·licituds de transferències urgents per trobar-se el responsable habitual fora de l'oficina", ha reiterat el director general.

Correus sospitosos

García Duarte també ha recomanat que davant del primer senyal de correus sospitosos "és fonamental la notificació primerenca, així com guardar un registre de tots els correus enviats i rebuts per si es requereixen per a investigacions posteriors, així com interposar la denúncia".

"És molt important, a més de la conscienciació dels empleats i de disposar de procediments robustos, no deixar-se intimidar per sol·licituds urgents o amenaçadores, ja que els atacants poden ser molt persuasius i poden fer creure a la víctima que es tracta d'un superior o que el seu lloc de treball corre perill", han conclòs des de la DGTIC, després de remarcar que "una vegada CSIRT-CV detecta un correu d'aquest tipus, a més de procedir a la notificació dels possibles afectats, s'efectua el bloqueig del remitent en els servidors de correu corporatius i es comprova que no s'hagen rebut també en comptes d'altres usuaris".