PHISHING ALERTAS DE SEGURIDAD SECCIÓN PAGOS CÓMO PREVENIR ESTE FRAUDE?

Transcripción

1 Existen varios tipos de fraude que pueden ocurrir en el área de pagos. Cada uno tiene sus propias características y medidas preventivas. La mejor forma de protección es informándose y educándose. Usted debe revisar todo el entrenamiento sobre seguridad en el siguiente link de Aspen: PHISHING Phishing es un correo electrónico fraudulento donde un estafador pretende ser una persona u organización legítima y persuade a un empleado a revelar información, pagar dinero a una cuenta fraudulenta o dar acceso a su computadora. Este tipo de fraude tiene mucho éxito entre los estafadores porque utilizan información de adentro de la empresa para convencer a su objetivo de su autenticidad. Esta información pueden ser referencias relacionadas a la empresa, correos electrónicos o información personal. Aproximadamente el 40-50% de los intentos de Phishing son exitosos. CÓMO PREVENIR ESTE FRAUDE? Siempre verificar, nunca hacer la transacción solo por correo electrónico Siempre confirmar solicitudes para transferencias bancarias con una fuente fiable. La confirmación puede hacerse mediante una llamada o un mensaje a un número fiable y publicado por esa empresa. Por ejemplo, la libreta de direcciones global de Alltech ó un sitio web externo (no navegar en un sitio web que ha sido abierto a través de un hipervínculo en el correo electrónico). Siempre seguir los controles regulares y contactar a las personas necesarias para aprobar las transacciones. Nunca responder directamente Si es necesario responder a la solicitud a través del correo electrónico, no hacerlo directamente al remitente. En lugar, re-enviar el correo electrónico y manualmente ingresar la dirección de correo del destinatario. El Spear Phishing es exitoso porque los estafadores utilizan un correo electrónico que parece correcto pero que tiene caracteres escondidos en la dirección: Alltech.com vs Altech.com, Microsoft.com vs Microsofft.com, cthompson vs cthornpson pueden ser pasados por alto cuando se lee un correo electrónico. Busque y sea cuidadoso con correos electrónicos que: Procedan de remitentes no reconocidos (nombres de usuario o dominios, escritos incorrectamente o muy parecidos a Alltech.com). Les pida confirmar transacciones/información personal, de la empresa o financiera a través de internet o por correo electrónico. Tenga un sentido de urgencia. Los estafadores recurren a esto e indican que la cuenta será cerrada si no se responde al correo electrónico o no se verifica o autentifica información confidencial. Pida contraseñas o detalles de tarjetas de crédito. Contactos legítimos nunca harán esto. No sean personalizados. Traten de sorprenderlo o los inciten a actuar rápido amenazándolos con información amedrentadora. Escrito por MIS y Auditoría Interna Página 1

2 Comunique información personal o de la empresa solo por teléfono o sitios web seguros Cuando realice transacciones online, busque algún signo que represente que el sitio sea seguro, como por ejemplo un ícono de un candado en la barra de estado del navegador o un URL donde la s representa seguro, en lugar de solo Tenga cuidado del Phishing por teléfono. No divulgue información personal o de la empresa a través del teléfono a menos que usted haya iniciado la llamada. Sea cuidadoso con los correos electrónicos donde se le pida llamar a un número de teléfono para actualizar información de su cuenta. NO de clic en links, descargue archivos o abra adjuntos en correos electrónicos de remitentes desconocidos Nuevamente, busque nombres de usuario incorrectos o dominios de correos electrónicos muy similares a Alltech.com Abra archivos adjuntos solo cuando usted los espera y sepa qué es lo que contienen, aún cuando conozca al remitente. Los sitios web Phishing normalmente copian todo el aspecto de un sitio web legítimo haciéndolo parecer auténtico. Para estar seguro, llame por teléfono a la empresa legítima para constatar si realmente enviaron ese correo. Utilice sus links de Favoritos para los sitios web de bancos y proveedores. Nunca utilice los links que se envían en correos electrónicos. Nunca envíe por correo electrónico información financiera sensible, independientemente del destinatario Nunca se sabe quién puede acceder a su cuenta de correo electrónico, o a la cuenta de la persona a la que usted está enviando el correo electrónico. Los ejemplos de ataques Phishing se encuentran adjuntos en el Anexo I. PAGOS NO-RUTINARIOS Tenga en cuenta que Dr. Lyons, Alric Blake, Flora Djojo, Maksim Halauniou o cualquier Vice Presidente nunca solicitará una transferencia de dinero sin una llamada de confirmación. Si usted recibe un correo electrónico de cualquier persona solicitando una transferencia bancaria: Re confirme la dirección de correo electrónico. Si la dirección es errónea o incorrecta es un correo electrónico Phishing. El contenido del correo electrónico puede ser engañoso y aparentar ser legítimo. Esto incluye una cadena de mensajes de Dr. Lyons y también puede mencionarse el nombre del proyecto y número del centro de costos. Si la dirección de correo electrónico aparenta ser la correcta, use cualquiera de las siguientes según corresponda: Llame o envíe un mensaje de texto al solicitante utilizando un número de teléfono de la libreta de direcciones de Alltech y pida confirmación. Pida confirmación al solicitante a través de un correo electrónico utilizando la libreta de direcciones de Alltech. No responda el correo electrónico inicial porque estará respondiendo al estafador. Pida confirmación a través de Lync Escrito por MIS y Auditoría Interna Página 2

3 Si usted cree que se ha realizado una transferencia como resultado de una solicitud fraudulenta, contacte al banco inmediatamente para detener y revertir la transferencia. Reenvíe inmediatamente el correo electrónico a Tim Arthur, Mike Castle, Alric Blake, Flora Djojo, Maksim Halauniou y Peter Swail. MANDATE FRAUD (Suplantación de Identidad) Este tipo de fraude ocurre cuando los estafadores suplantan o se hacen pasar por proveedores regulares y convencen a los empleados de cambiar la información bancaria que se tiene con ellos. La próxima vez que se ordene un pago por productos o servicios de ese proveedor, el pago irá al estafador. Algunas características de este tipo de fraude incluyen: Solicitudes verbales, escritas o por correo electrónico recibidas donde se tenga que cambiar información de cuentas bancarias. Solicitudes formales donde los estafadores utilizan la identidad del proveedor y utilizan papeles oficiales o membretados con el logo e información de la empresa y así solicitan cambios en su información. Las solicitudes para cambiar información de cuentas bancarias pueden ser precedidas por solicitudes de cambio de contactos del proveedor como nombres o números de teléfono. En algunos casos, referencias legítimas del proveedor son citadas para dar autenticidad a la solicitud. Estas han podido ser obtenidas a través de la empresa en ocasiones anteriores. Los estafadores pueden contactar al proveedor primero y hacerse pasar por una persona de su empresa objetivo para obtener información sobre pagos futuros. Así, tienen más información de su lado para hacer parecer auténticas sus solicitudes cuando piden cambiar algún dato. Con esto, intentan disuadir al empleado a que no cumpla con los procesos de verificación. Un ejemplo de este tipo de fraude se encuentra adjunto en el Anexo II. CÓMO PREVENIR ESTE FRAUDE? Revise que la solicitud sea genuina Llame por teléfono al proveedor utilizando un número de su sitio web. De preferencia hable con alguna persona que conozca para así confirmar los detalles del cambio. Dígale a la persona que solicita el cambio, que usted contactará a la persona de contacto que tiene en archivos. Manténgase atento a señales La carta o el correo electrónico normalmente incluye la invitación para confirmar la instrucción, por favor llamar al siguiente número xxxxxxx. Este número es una línea manejada por los estafadores. Tenga cuidado con supuestos correos electrónicos de confirmación de direcciones de correo casi idénticas, como.com.mx en lugar de.com ó viceversa. O una dirección que difiera sutilmente de la original, como por ejemplo una letra de más o de menos. Escrito por MIS y Auditoría Interna Página 3

4 Confíe en la información que mantiene en archivos Verifique cambios de acuerdos financieros con proveedores o consultores utilizando los detalles de contacto que mantiene en archivo. Revise estados bancarios con atención y reporte cualquier sospecha a los bancos. Confirme cambios en la información de clientes por escrito y de preferencia antes de procesar cualquier tipo de pago. Luego de pagar cualquier factura, envíe un correo electrónico a su contacto en la empresa beneficiaria informando que el pago se ha realizado. A pesar que el 99% de casos de este tipo de fraude fallan, en el 1% que los estafadores tienen éxito, estos se llevan cifras de no menos de seis dígitos. La recuperación de estos fondos es difícil. De esta forma, la única manera segura de prevenir una pérdida por Mandate Fraud es detectar el intento antes que cualquier transferencia de dinero se haya hecho. Como se ha resaltado en el reporte, los pequeños detalles hacen la diferencia: un logo que no tiene el color adecuado, un correo electrónico que use un formato de firma diferente o un tipo de papel inusual en una carta. En una llamada telefónica, debe tener cuidado y ser cauteloso si una persona es muy agresiva o si pregunta por información que ya debería saber o que considere irrelevante (como por ejemplo la fecha del último pago). Los estafadores también utilizan las llamadas telefónicas como pretexto para tratar de obtener información y así incrementar sus posibilidades de éxito. Por ejemplo, preguntar por los nombres o números de teléfono de las personas encargadas de pagos, o por un número de referencia de un proveedor en particular o confirmar el balance de fin de mes. Sea extremadamente cauteloso cuando se tenga mucha carga de trabajo o cuando falte personal, como en vacaciones, fin de mes o anual y picos de trabajo durante el año. Protocolo para cambiar la información de un proveedor En el caso que usted sea contactado por un proveedor: 1. Debe pedir la completa identificación de la persona 2. Incluso si la persona manifiesta que es un nuevo empleado, usted debe llamar a su contacto de referencia en esa empresa inmediatamente después de la llamada 3. Antes de hacer algún tipo de cambio en la información de contacto o bancaria del proveedor, verifique y contraste con la información original que se tenga de ese proveedor. La verificación no debe hacerse con la documentación recibida solicitando los cambios (puede contener información falsa) si no con información existente que se mantenga en archivos 4. Para confirmar la legitimidad de la solicitud consulte con una fuente confiable antes de aplicar cualquier tipo de cambio 5. Usted no debe cambiar ningún tipo de información de proveedores si no ha confirmado estos detalles con su fuente confiable en esa empresa Escrito por MIS y Auditoría Interna Página 4

5 ANEXO I CORREOS ELECTRÓNICOS PHISHING El correo electrónico mostrado arriba fue recibido por Maksim Halauniou. Él re-envió este correo a Alric Blake en lugar de responderlo directamente. Así fue como se descubrió que era un correo electrónico fraudulento. Este control le ahorró a Alltech $62k! Puede notar que aparenta ser un correo electrónico original de Dr. Lyons, pero los estafadores solo agregan estos detalles para engañar al recipiente. Note también que la dirección de correo electrónico de Alric no es la correcta. Escrito por MIS y Auditoría Interna Página 5

6 Pareciera que estos dos correos electrónicos provienen de Bank of America. Note que proporcionan un hipervínculo (que NO lo llevan a la página legítima de Bank of America) y utilizan la amenaza de un fin de plazo y suspensión de la cuenta. Estos ataques son clásicos de Phishing. Escrito por MIS y Auditoría Interna Página 6

7 ANEXO II MANDATE FRAUD Escrito por MIS y Auditoría Interna Página 7

8 Escrito por MIS y Auditoría Interna Página 8