PHISHING ALERTAS DE SEGURIDAD SECCIÓN PAGOS CÓMO PREVENIR ESTE FRAUDE?



Documentos relacionados
Qué son los s Fraudulentos?

Teléfono: Telefax:

ROBO DE IDENTIDAD. Cuando usted sabe cómo manejar las finanzas de su negocio, tiene una herramienta muy valiosa para proteger su patrimonio.

Seguridad en la red. Fuga o robo de información a causa de las siguientes razones:

GUÍA PRÁCTICA DE FINANZAS PERSONALES ROBO DE IDENTIDAD. Cómo proteger su identidad e información financiera del robo

Preguntas Frecuentes de Servicios en Línea de Tarjetas de Crédito. 1. Tengo que ingresar la información de registro cada vez que inicio una sesión?

Recomendaciones de Seguridad Red Social Twitter

Seguridad en la banca electrónica. <Nombre> <Institución> < >

Como Suceden los Fraudes

Antes de proporcionar información personal verifique la autenticidad de la persona que se la solicita.

Tendencias del Fraude

Mejores prácticas de Seguridad en Línea

Manual para el profesor

SEGURIDAD EN INTERNET PARA USUARIOS MAYORES CONSEJOS PARA LA TERCERA EDAD

Información de seguridad en Línea

Seguridad en el Comercio Electrónico. <Nombre> <Institución> < >

Vulnerabilidad de Phishing en Sitios Bancarios en Argentina

Buenas Prácticas en Correo Electrónico

SEGURIDAD INFORMATICA PHISHING: Definición:

Campus Virtual, Escuela de Ingeniería Mecánica Guía Estudiante

Un sistema adecuadamente refrigerado debe mantener una temperatura de grados.

MANUAL DE ACCESO A TU CUENTA DE CLARO A TRAVES DE LA WEB

OFICINA VIRTUAL SIS MANUAL DE TUTOR

CÓMO ENVIAR DOCUMENTOS POR INTERNET DE FORMA SEGURA

Introducción a Spamina

Como Usar la Nueva Tarjeta de Débito EDD

Manual del usuario del Módulo de Administración de Privilegios del Sistema Ingresador (MAPSI)

INSTRUCTIVO CORREOS ELECTRÓNICOS

Instructivo Asignación y Cambio de clave para el ingreso de usuarios HQ-RUNT

Guía para comprar por Internet sin tarjeta de crédito.

Guía del usuario. Centro de facturación de UPS

DECLARACIÓN DE PRIVACIDAD DE FONOWEB

Preguntas frecuentes. Page 1 of 7

Proceso de Compra de Avisos Clasificados desde Internet

ALGUNAS AYUDAS PARA EL ACCESO AL AULA DIGITAL Contenido

Programa de protección de ventas American Express

Manual de usuario administrador. Correo Exchange Administrado

Que hacer en caso de detección de virus? Elaborado por: Lic. Roberto David Viveros Fong-Choy Julio / 2001

Cómo ingresar a la Sucursal Electrónica?

Ayuda para el usuario de Websense Secure Messaging

Contraseñas seguras: Cómo crearlas y utilizarlas

1) Transferencia de dinero o envió de dinero utilizando agencias como:

Departamento CERES Área de Tarjetas Inteligentes Manual de Usuario


4. Qué información personal se divulgó? Los documentos que desaparecieron contenían la siguiente información:

Manual de Usuario Sistema de Médicos. Proyecto:

ANTIPHISHING: Qué es? Para qué sirve? De qué protege? Escenarios de aplicación. Recomendaciones y buenas prácticas.

Nueva Guía del usuario para el Sistema de pago de nómina por Internet. Tabla de contenido

Sistema de Inscripciones en Línea de la Olimpiada Mexicana de Matemáticas, Delegación Yucatán MANUAL DE USUARIO

Usar Office 365 en un teléfono Android

Infraestructura Extendida de Seguridad IES

Admincontrol Descarga e instalación

Manual de USO de la Web. Afilnet.com. Afilnet. Servicios de Telecomunicaciones SMS

PROCEDIMIENTOS PARA ORDENAR MATERIAL

Acceder al Correo Electronico - Webmail

Organizándose con Microsoft Outlook

Preguntas Frecuentes Pedidos en MYHERBALIFE.COM Costa Rica, Agosto-2012

Manual de Usuario FACTURA99 FACTURACIÓN. Factura99 FACTURA 99

CONTENIDO. LAS REMESAS: cada opción cumple con su función. SABEResPODER

Artículo V522. Introducción a Google Analytics

12 medidas básicas para la seguridad Informática

MANUAL DE USO MICROSOFT LYNC ONLINE

ACCESO AL SERVIDOR EXCHANGE MEDIANTE OWA

Como crear una cuenta en PayPal?

Manual de Usuario. Sistema Municipal de Facturación Electrónica. Página 1 de 26

Manual de operación para el ingreso de casos de CFDs en el centro de atención a proveedores

Guía de seguridad informática Buenas prácticas para el Nuevo Año

Capítulo 1: Empezando...3

MANUAL DE LA APLICACIÓN HELP DESK

Sistema Automático de Recepción

Bienvenidos al Nuevo Discovery Parent Portal

INSTRUCTIVO. Cambio de contraseñas para acceder al módulo Ulises SAI

GUÍA DE REGISTRO PARA PAYPAL

COMO OBTENER SU MASTERCARD SECURE CODE MasterCard Secure Code

1

MANUAL DE USUARIOS DEL SISTEMA MESA DE SOPORTE PARA SOLICITAR SERVICIOS A GERENCIA DE INFORMATICA

Instituto Colombiano para la Evaluacion de la Educación. Subdirección de Desarrollo de Aplicaciones.

Guía para El Proveedor **********

如 何 安 全 使 用 电 子 银 行 Cómo usar la banca electrónica con seguridad

Manual de uso de Moodle para alumnos

Manual de usuarios Asignación y Pago en Línea AGENCIA ISBN COLOMBIA

GUÍA PRÁCTICA DE FINANZAS CONCEPTOS BÁSICOS DE LAS TARJETAS DE DÉBITO. Lo que necesita saber sobre el uso de su tarjeta de débito

Centro de Lubricación. Manual de uso

Visor de presupuestos en Android

MANUAL DE USUARIO: AGENCIA DE VIAJES Configuración. Principales funcionalidades

INSTRUCTIVO PARA BENEFICIARIOS REGISTRO Y ACCESO A SERVICIOS EN LINEA

INFORMÁTICA IE. Términos a conocer y conceptos básicos. World Wide Web (WWW):

Política de la base datos WHOIS para nombres de dominio.eu

Manual de Usuario Comprador Presupuesto

Escudo Movistar Guía Rápida de Instalación Dispositivos Symbian

GuÍa rápida de uso. westlaw chile

Manual Agencia Virtual Empresas

RED UNIDOS CAPACITACIÓN A COGESTORES MANEJO DEL PORTAL WEB DE AUTOAYUDA

Cómo registrarse y crear su cuenta de usuario? < IMAGEN 2.1.1: HAZ CLIC SOBRE EL BOTÓN RESALTADO

Manual de Operación PORTAL VENTA de PINES AMÉRICA TOTAL

Uso de Outlook y Lync

EMPRESAS EN LÍNEA - GUÍA RÁPIDA Para Administradores del Sistema

MANUAL WEBSOPORTE DE IRIS-EKAMAT

Nuevo servicio de Correo Electrónico para Alumnos USIL

Manual de Usuario del Sistema RECIBOS DE HABERES UNLu Contacto:

Transcripción:

Existen varios tipos de fraude que pueden ocurrir en el área de pagos. Cada uno tiene sus propias características y medidas preventivas. La mejor forma de protección es informándose y educándose. Usted debe revisar todo el entrenamiento sobre seguridad en el siguiente link de Aspen: https://aspen.alltech.com/sites/campus/training/phish/sitepages/phish.aspx PHISHING Phishing es un correo electrónico fraudulento donde un estafador pretende ser una persona u organización legítima y persuade a un empleado a revelar información, pagar dinero a una cuenta fraudulenta o dar acceso a su computadora. Este tipo de fraude tiene mucho éxito entre los estafadores porque utilizan información de adentro de la empresa para convencer a su objetivo de su autenticidad. Esta información pueden ser referencias relacionadas a la empresa, correos electrónicos o información personal. Aproximadamente el 40-50% de los intentos de Phishing son exitosos. CÓMO PREVENIR ESTE FRAUDE? Siempre verificar, nunca hacer la transacción solo por correo electrónico Siempre confirmar solicitudes para transferencias bancarias con una fuente fiable. La confirmación puede hacerse mediante una llamada o un mensaje a un número fiable y publicado por esa empresa. Por ejemplo, la libreta de direcciones global de Alltech ó un sitio web externo (no navegar en un sitio web que ha sido abierto a través de un hipervínculo en el correo electrónico). Siempre seguir los controles regulares y contactar a las personas necesarias para aprobar las transacciones. Nunca responder directamente Si es necesario responder a la solicitud a través del correo electrónico, no hacerlo directamente al remitente. En lugar, re-enviar el correo electrónico y manualmente ingresar la dirección de correo del destinatario. El Spear Phishing es exitoso porque los estafadores utilizan un correo electrónico que parece correcto pero que tiene caracteres escondidos en la dirección: Alltech.com vs Altech.com, Microsoft.com vs Microsofft.com, cthompson vs cthornpson pueden ser pasados por alto cuando se lee un correo electrónico. Busque y sea cuidadoso con correos electrónicos que: Procedan de remitentes no reconocidos (nombres de usuario o dominios, escritos incorrectamente o muy parecidos a Alltech.com). Les pida confirmar transacciones/información personal, de la empresa o financiera a través de internet o por correo electrónico. Tenga un sentido de urgencia. Los estafadores recurren a esto e indican que la cuenta será cerrada si no se responde al correo electrónico o no se verifica o autentifica información confidencial. Pida contraseñas o detalles de tarjetas de crédito. Contactos legítimos nunca harán esto. No sean personalizados. Traten de sorprenderlo o los inciten a actuar rápido amenazándolos con información amedrentadora. Escrito por MIS y Auditoría Interna Página 1

Comunique información personal o de la empresa solo por teléfono o sitios web seguros Cuando realice transacciones online, busque algún signo que represente que el sitio sea seguro, como por ejemplo un ícono de un candado en la barra de estado del navegador o un URL https:, donde la s representa seguro, en lugar de solo http:. Tenga cuidado del Phishing por teléfono. No divulgue información personal o de la empresa a través del teléfono a menos que usted haya iniciado la llamada. Sea cuidadoso con los correos electrónicos donde se le pida llamar a un número de teléfono para actualizar información de su cuenta. NO de clic en links, descargue archivos o abra adjuntos en correos electrónicos de remitentes desconocidos Nuevamente, busque nombres de usuario incorrectos o dominios de correos electrónicos muy similares a Alltech.com Abra archivos adjuntos solo cuando usted los espera y sepa qué es lo que contienen, aún cuando conozca al remitente. Los sitios web Phishing normalmente copian todo el aspecto de un sitio web legítimo haciéndolo parecer auténtico. Para estar seguro, llame por teléfono a la empresa legítima para constatar si realmente enviaron ese correo. Utilice sus links de Favoritos para los sitios web de bancos y proveedores. Nunca utilice los links que se envían en correos electrónicos. Nunca envíe por correo electrónico información financiera sensible, independientemente del destinatario Nunca se sabe quién puede acceder a su cuenta de correo electrónico, o a la cuenta de la persona a la que usted está enviando el correo electrónico. Los ejemplos de ataques Phishing se encuentran adjuntos en el Anexo I. PAGOS NO-RUTINARIOS Tenga en cuenta que Dr. Lyons, Alric Blake, Flora Djojo, Maksim Halauniou o cualquier Vice Presidente nunca solicitará una transferencia de dinero sin una llamada de confirmación. Si usted recibe un correo electrónico de cualquier persona solicitando una transferencia bancaria: Re confirme la dirección de correo electrónico. Si la dirección es errónea o incorrecta es un correo electrónico Phishing. El contenido del correo electrónico puede ser engañoso y aparentar ser legítimo. Esto incluye una cadena de mensajes de Dr. Lyons y también puede mencionarse el nombre del proyecto y número del centro de costos. Si la dirección de correo electrónico aparenta ser la correcta, use cualquiera de las siguientes según corresponda: Llame o envíe un mensaje de texto al solicitante utilizando un número de teléfono de la libreta de direcciones de Alltech y pida confirmación. Pida confirmación al solicitante a través de un correo electrónico utilizando la libreta de direcciones de Alltech. No responda el correo electrónico inicial porque estará respondiendo al estafador. Pida confirmación a través de Lync Escrito por MIS y Auditoría Interna Página 2

Si usted cree que se ha realizado una transferencia como resultado de una solicitud fraudulenta, contacte al banco inmediatamente para detener y revertir la transferencia. Reenvíe inmediatamente el correo electrónico a Tim Arthur, Mike Castle, Alric Blake, Flora Djojo, Maksim Halauniou y Peter Swail. MANDATE FRAUD (Suplantación de Identidad) Este tipo de fraude ocurre cuando los estafadores suplantan o se hacen pasar por proveedores regulares y convencen a los empleados de cambiar la información bancaria que se tiene con ellos. La próxima vez que se ordene un pago por productos o servicios de ese proveedor, el pago irá al estafador. Algunas características de este tipo de fraude incluyen: Solicitudes verbales, escritas o por correo electrónico recibidas donde se tenga que cambiar información de cuentas bancarias. Solicitudes formales donde los estafadores utilizan la identidad del proveedor y utilizan papeles oficiales o membretados con el logo e información de la empresa y así solicitan cambios en su información. Las solicitudes para cambiar información de cuentas bancarias pueden ser precedidas por solicitudes de cambio de contactos del proveedor como nombres o números de teléfono. En algunos casos, referencias legítimas del proveedor son citadas para dar autenticidad a la solicitud. Estas han podido ser obtenidas a través de la empresa en ocasiones anteriores. Los estafadores pueden contactar al proveedor primero y hacerse pasar por una persona de su empresa objetivo para obtener información sobre pagos futuros. Así, tienen más información de su lado para hacer parecer auténticas sus solicitudes cuando piden cambiar algún dato. Con esto, intentan disuadir al empleado a que no cumpla con los procesos de verificación. Un ejemplo de este tipo de fraude se encuentra adjunto en el Anexo II. CÓMO PREVENIR ESTE FRAUDE? Revise que la solicitud sea genuina Llame por teléfono al proveedor utilizando un número de su sitio web. De preferencia hable con alguna persona que conozca para así confirmar los detalles del cambio. Dígale a la persona que solicita el cambio, que usted contactará a la persona de contacto que tiene en archivos. Manténgase atento a señales La carta o el correo electrónico normalmente incluye la invitación para confirmar la instrucción, por favor llamar al siguiente número xxxxxxx. Este número es una línea manejada por los estafadores. Tenga cuidado con supuestos correos electrónicos de confirmación de direcciones de correo casi idénticas, como.com.mx en lugar de.com ó viceversa. O una dirección que difiera sutilmente de la original, como por ejemplo una letra de más o de menos. Escrito por MIS y Auditoría Interna Página 3

Confíe en la información que mantiene en archivos Verifique cambios de acuerdos financieros con proveedores o consultores utilizando los detalles de contacto que mantiene en archivo. Revise estados bancarios con atención y reporte cualquier sospecha a los bancos. Confirme cambios en la información de clientes por escrito y de preferencia antes de procesar cualquier tipo de pago. Luego de pagar cualquier factura, envíe un correo electrónico a su contacto en la empresa beneficiaria informando que el pago se ha realizado. A pesar que el 99% de casos de este tipo de fraude fallan, en el 1% que los estafadores tienen éxito, estos se llevan cifras de no menos de seis dígitos. La recuperación de estos fondos es difícil. De esta forma, la única manera segura de prevenir una pérdida por Mandate Fraud es detectar el intento antes que cualquier transferencia de dinero se haya hecho. Como se ha resaltado en el reporte, los pequeños detalles hacen la diferencia: un logo que no tiene el color adecuado, un correo electrónico que use un formato de firma diferente o un tipo de papel inusual en una carta. En una llamada telefónica, debe tener cuidado y ser cauteloso si una persona es muy agresiva o si pregunta por información que ya debería saber o que considere irrelevante (como por ejemplo la fecha del último pago). Los estafadores también utilizan las llamadas telefónicas como pretexto para tratar de obtener información y así incrementar sus posibilidades de éxito. Por ejemplo, preguntar por los nombres o números de teléfono de las personas encargadas de pagos, o por un número de referencia de un proveedor en particular o confirmar el balance de fin de mes. Sea extremadamente cauteloso cuando se tenga mucha carga de trabajo o cuando falte personal, como en vacaciones, fin de mes o anual y picos de trabajo durante el año. Protocolo para cambiar la información de un proveedor En el caso que usted sea contactado por un proveedor: 1. Debe pedir la completa identificación de la persona 2. Incluso si la persona manifiesta que es un nuevo empleado, usted debe llamar a su contacto de referencia en esa empresa inmediatamente después de la llamada 3. Antes de hacer algún tipo de cambio en la información de contacto o bancaria del proveedor, verifique y contraste con la información original que se tenga de ese proveedor. La verificación no debe hacerse con la documentación recibida solicitando los cambios (puede contener información falsa) si no con información existente que se mantenga en archivos 4. Para confirmar la legitimidad de la solicitud consulte con una fuente confiable antes de aplicar cualquier tipo de cambio 5. Usted no debe cambiar ningún tipo de información de proveedores si no ha confirmado estos detalles con su fuente confiable en esa empresa Escrito por MIS y Auditoría Interna Página 4

ANEXO I CORREOS ELECTRÓNICOS PHISHING El correo electrónico mostrado arriba fue recibido por Maksim Halauniou. Él re-envió este correo a Alric Blake en lugar de responderlo directamente. Así fue como se descubrió que era un correo electrónico fraudulento. Este control le ahorró a Alltech $62k! Puede notar que aparenta ser un correo electrónico original de Dr. Lyons, pero los estafadores solo agregan estos detalles para engañar al recipiente. Note también que la dirección de correo electrónico de Alric no es la correcta. Escrito por MIS y Auditoría Interna Página 5

Pareciera que estos dos correos electrónicos provienen de Bank of America. Note que proporcionan un hipervínculo (que NO lo llevan a la página legítima de Bank of America) y utilizan la amenaza de un fin de plazo y suspensión de la cuenta. Estos ataques son clásicos de Phishing. Escrito por MIS y Auditoría Interna Página 6

ANEXO II MANDATE FRAUD Escrito por MIS y Auditoría Interna Página 7

Escrito por MIS y Auditoría Interna Página 8

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback