Alertan en Galicia dun repunte de ciberestafas que suplantan a empregados, provedores e directivos
O método co que se estafaron maiores cantidades de diñeiro consiste na interceptación de facturas reais, que os delincuentes reenvían desde unha dirección case idéntica á do provedor
Noutros casos fanse pasar por traballadores que envían un correo á empresa cun falso cambio de conta bancaria para que lles ingresen a nómina
A Policía Nacional chama a "desconfiar de correos que soliciten accións rápidas ou que apelen ao medo e a urxencia extrema"
(Policía Nacional-Arquivo)
A Policía Nacional alertou sobre o repunte en Galicia, nas últimas semanas, de fraudes dixitais baseadas na suplantación de identidade, que están a afectar tanto ao tecido empresarial como aos traballadores de forma individual. Os ataques, que utilizan técnicas de enxeñería social avanzada, céntranse no desvío de fondos mediante a manipulación de procesos administrativos cotiáns.
O método co que se estafaron maiores cantidades de diñeiro consiste na interceptación de facturas reais, que os delincuentes reenvían desde unha dirección case idéntica á do provedor. Nun correo electrónico indican que cambiaron os seus datos bancarios e solicitan que os pagos pendentes realícense a unha nova conta.
Cada unha destas estafas supón a perda de miles de euros, segundo advirte a Policía Nacional. Esta é unha variante da fraude de compromiso de correo electrónico corporativo (BEC, polos seus siglás en inglés), da que os axentes detectaron un auxe.
A outra modalidade posible desta fraude afecta o desvío de nóminas, de forma que o atacante se fai pasar por un empregado da propia empresa e envía un correo ao departamento de Recursos Humanos solicitando un cambio urxente na súa conta bancaria para o ingreso da próxima nómina. Así, a empresa transfire a nómina dun empregado directamente ás contas dos estafadores.
A 'Estafa do CEO' e o falso repartidor
Outra ameaza que a Policía considera "importante" é a 'estafa do CEO'. Nesta, os delincuentes suplantan a un alto directivo para presionar a empregados e, baixo unha suposta urxencia ou confidencialidade extrema, solicitan transferencias bancarias inmediatas.
Na comunidade galega, os axentes detectaron unha modalidade desta estafa, enfocada a todo tipo de empresas, independentemente do seu tamaño: a estafa do repartidor de mercancía. Nela, a empresa recibe un aviso falso do ciberestafador, que suplanta a unha empresa de mensaxería ou dun provedor, sobre un paquete ou mercancía bloqueada por un suposto pago pendente.
Este aviso chega normalmente mediante unha chamada ou un correo electrónico a un empregado, ao que demandan un pago inmediato para recibir unha mercancía supostamente importante. Utilizarán diferentes técnicas de enxeñería social. É habitual que aleguen que o xefe ou superior da empresa xa se puxo en contacto con eles e está ao corrente da necesidade de realizar o pago de forma inminente.
O seu obxectivo é conseguir que o empregado faga algunha transferencia ou utilice o diñeiro da caixa, ou o seu propio, para comprar cartóns de prepago nalgún establecemento. Posteriormente, o delincuente pediralle os códigos de cada cartón para poder baleiralas.
Recomendacións de seguridade
Para mitigar estes riscos, a Policía Nacional insta as organizacións a implementar protocolos de verificación de dobre factor, como a validación por canle secundaria --por exemplo, confirmar a solicitude de cambios en datos de pago mediante unha chamada telefónica-- e o exame de dominios de correo.
Tamén propón a implementación de protocolos de autorización, que establezan que calquera transferencia de alta contía ou cambio de conta bancaria requira a firma ou autorización de polo menos dúas persoas. Ademais, en xeral, os axentes chaman a "desconfiar de correos que soliciten accións rápidas ou que apelen ao medo e a urxencia extrema".
