A Policía Nacional recupera 60.000 euros subtraídos a unha empresa coruñesa mediante a estafa do BEC

A Policía Nacional consegue recuperar na Coruña 60.000 euros subtraídos mediante unha estafa cometida utilizando novas tecnoloxías e enxeñería social, e identificar o autor dos feitos.

O Grupo de Investigación Tecnolóxica (G.I.T.)  iniciou a investigación por mor dunha denuncia na que o representante dunha empresa con sede social na Coruña denunciaba unha estafa por valor de 60.000 euros.

As credenciais dun dos empregados de confianza da empresa víronse comprometidas, de tal maneira que o autor, cando a empresa debía realizar un pago vía transferencia bancaria a outra empresa, cambiou o número de conta de destino da transferencia, facéndose deste xeito co diñeiro. Grazas á rapidez coa que a empresa se decatou dos feitos, os axentes puideron solicitar o bloqueo da conta de destino da transferencia fraudulenta e identificar o seu titular .

Desta maneira conseguiron que se devolvese ás vítimas o importe íntegro do estafado. A Policía Nacional, á vista do volume das transferencias recibidas na conta investigada, superior aos dous millóns de euros, prosegue coas investigacións para o esclarecemento dos feitos, ante a posibilidade de que existan máis vítimas que aínda non se decataron da estafa.

En que consiste a fraude do BEC

Coñecido como Business Email Compromise (BEC), ou Correo Electrónico Corporativo comprometido, continúa causando perdas millonarias a empresas de todos os tamaños.

Esta fraude, segue un patrón definido:  

-Investigación da posible vítima: Estudan a fondo á empresa obxectivo, identificando a altos executivos e empregados con acceso a finanzas ou datos sensibles (RR.HH., Contabilidade). Utilizan información pública (redes sociais, web corporativa) para imitar patróns de comunicación da empresa cos seus provedores ou clientes.  

-Suplantación: Crean correos electrónicos falsificados que parecen idénticos ou son moi similares á do executivo ou provedor que se está suplantando. En ocasións, logran comprometer contas lexítimas mediante roubo de credenciais.  

-Envío de mensaxe fraudulenta: Envían un correo electrónico urxente e confidencial que simula provir da figura de autoridade ou dun socio comercial.

As solicitudes máis comúns que fan nestes correos son:

-Estafa de factura falsa: fanse pasar por un provedor lexítimo e informan dun cambio na conta bancaria para o pago dunha factura pendente. Con esta mensaxe conseguen que directamente lles sexa ingresado nas súas contas o importe dunha factura pendente a un provedor real.

-Roubo de datos confidenciais: solicitan información sensible, como listas de empregados ou datos fiscais, con fins de venda na darkweb ou futuros ataques.  

-Fraude do CEO: é a variante máis coñecida. O falso executivo ordena unha transferencia bancaria urxente a unha conta fraudulenta, a miúdo coa escusa dunha adquisición ou un negocio secreto. O factor psicolóxico da urxencia e a presión do seu suposto xefe, impulsan ao empregado para realizar a acción solicitada (transferencia, envío de datos) sen a debida verificación, materializando a estafa. En ocasións finxen tamén ser avogados da empresa.

Recoméndase a implementación dunha estratexia de seguridade en dúas vertentes: técnica e humana.

 -Protocolos de verificación de pagos: establecer un protocolo estrito de dobre verificación en todas as contas corporativas, para calquera solicitude de transferencia ou cambio de datos bancarios de provedores. Dita verificación debe facerse a través dunha canle alternativa e non por correo electrónico (chamada telefónica a un número previamente coñecido, reunión presencial).

 -Protección avanzada do correo: instalar software e sistemas operativos que detecten suplantación de dominio, anomalías na dirección do remitente e contido sospeitoso.  

-Limitar a exposición de información: restrinxir a publicación de información sensible sobre xerarquías internas, roles e responsabilidades en redes sociais ou no sitio web corporativo.

-Formación continua: realizar sesións de formación e simulacros de phishing periódicos, especialmente dirixidos ao persoal de finanzas, contabilidade e recursos humanos.  

-Verificar a urxencia: ante calquera solicitude inusual, urxente ou que implique movementos financeiros, deterse e verificar a identidade do remitente por un medio de comunicación diferente. Ningunha medida tecnolóxica é 100% efectiva sen a vixilancia do factor humano. Por iso, aconséllase ás empresas fortalecer os seus protocolos e investir na formación dos seus equipos.