Deu consells per a no ser víctima d'un frau al CEO

La Conselleria d'Hisenda, a través del Centre de Seguretat TIC de la Comunitat Valenciana, CSIRT-CV, ha posat en marxa la campanya “10 consells per a no ser víctima d'un frau al CEO” davant l'increment de casos detectats en els últims mesos amb aquesta mena de delicte tant en institucions públiques com privades, i que tenen com a objectiu el desviament de fons amb ordres falses que simulen procedir d'un superior de l'organització.

“El nostre objectiu és conscienciar a tots els empleats, especialment als que tenen capacitat per a gestionar els comptes i pagaments, per a no ser víctimes d'aquests enganys, evitar que es produïsquen pèrdues econòmiques i, per descomptat, fer conscients a les empreses i institucions dels perills als quals estem exposats”, ha assenyalat el director general de Tecnologies de la Informació (DGTIC), qui, això sí, ha apuntat que els membres de qualsevol organització haurien de ser “la primera barrera davant aquests intents de frau que són cada vegada més difícils de detectar per estar molt perfeccionats, però haurien de comptar també amb el suport clar de les seues organitzacions, amb una aposta ferma per enrobustir els procediments i els sistemes de seguretat”.

Aquest tipus d'engany consisteix a fer arribar un correu, remés suposadament per un superior de l'organització, a un empleat o empleada que tinga la possibilitat de realitzar transferències o accedir a dades de comptes, pressionant-lo per a realitzar alguna operació financera o un canvi de compte i indicant-li que és confidencial i urgent. Pot iniciar-se també sol·licitant informació sobre factures pendents, mitjançant un correu o cridada suplantant a aquest organisme.

“Els últims casos descoberts estaven perfectament organitzats i els correus eren molt creïbles, donat el nivell de coneixement de l'organització que presentaven, per la qual cosa hem d'extremar les precaucions”, ha assenyalat José Manuel García Duarte.

Deu consells sobre ciberseguretat

“És important que si un empleat rep un correu sol·licitant-li una transferència urgent comprove el domini del remitent i s'assegure que aqueixa adreça coincideix exactament amb el compte de correu electrònic que corresponga, ja que els ciberdelinqüents han de fer xicotets canvis que passen desapercebuts”, han assenyalat des de CSIRT-CV.

A més, han reiterat que davant qualsevol correu exigint transferències urgents amb qualsevol excusa d'un suposat superior, o sol·licitant canvis en els comptes de pagaments, el millor és fer una comprovació telefònica per a parlar directament amb el superior, però mai utilitzant els telèfons que apareguen en l'email sospitós, sinó al contacte del qual es dispose en la base de dades o directori de la pròpia organització. Tots els departaments han de tindre, a més, protocols de transaccions financeres clars i sòlids, i complir-se estrictament en tots els casos.

“Cal sospitar de tots els correus, per molt creïbles que semblen, que indiquen canvis en comptes de proveïdors o la realització de transferències o cobraments amb caràcter confidencial i urgent perquè els ciberdelinqüents volen donar el menor temps possible a la víctima per a evitar ser descoberts”, ha apuntat el responsable de la DGTIC, que ha advertit que els atacants solen crear documents falsificats que inclouen capçaleres oficials i fins i tot signatures digitals falsificades molt creïbles que en fan molt difícil la identificació.

Important també és la prevenció en la informació que es facilita a tercers, han recordat des del Centre de Seguretat, ja que les campanyes més sofisticades de “frau al CEO” solen vindre precedides d'una fase d'investigació, “en la qual l'atacant recapta informació sobre l'estructura orgànica i funcional de l'organisme, persones de contacte, factures, cobraments, contractes o fins i tot de la pròpia Plataforma de Contractació de l'Estat o webs oficials per a conéixer quins concursos públics hi ha en marxa o quina informació creïble poden tergiversar”.

Per això, han insistit que és fonamental que l'empresa dispose de procediments robustos de validació per a unes certes operacions, com l'exigència de la signatura digital o l'establiment de doble signatura per a operar amb imports que superen unes certes quantitats “ja que sempre resultaran més difícil que fructifique un engany a dues persones que només a una”.

Igualment, han incidit en què “sempre cal desconfiar dels correus electrònics el text dels quals estiga mal redactat o amb faltes d'ortografia; evitar prémer qualsevol enllaç present en mails desconeguts, obrir documents de procedència incerta i, per descomptat, evitar enviar credencials d'accés mitjançant correu electrònic a ningú, encara que siga de confiança”.

Un altre dels temes en els quals els experts recomanen fixar-se és en la sintaxi dels enllaços a pàgines web que arriben per correu electrònic “ja que una lletra pot marcar la diferència i tampoc s'han d'introduir dades personals en pàgines web l'enllaç de les quals s'haja acurtat com bit.ly, cort.as, etc.

“Cal romandre sempre alerta, especialment a les propostes de canvi de comptes bancaris, peticions d'informació sobre factures pendents, així com a sol·licituds de canvi de contactes, de quanties de serveis contractats, canvis de resultats en processos d'adjudicació o a sol·licituds de transferències urgents per trobar-se el responsable habitual fora de l'oficina”, ha reiterat el director general.

Correus sospitosos

García Duarte també ha recomanat que davant el primer senyal de correus sospitosos “és fonamental la notificació primerenca, així com guardar un registre de tots els correus enviats i rebuts per si es requereixen per a investigacions posteriors, així com interposar la denúncia”.

“És molt important, a més de la conscienciació dels empleats i de disposar de procediments robustos, no deixar-se intimidar per sol·licituds urgents o amenaçadores, ja que els atacants poden ser molt persuasius i poden fer creure a la víctima que es tracta d'un superior o que el seu lloc de treball corre perill”, han conclòs des de la DGTIC, després de remarcar que una vegada CSIRT-CV detecta un mail d'aquest tipus, “a més de procedir a la notificació dels possibles afectats, s'efectua al bloqueig del remitent en els servidors de correu corporatius, es comprova que no s'hagen rebut també en comptes d'altres usuaris”.