En la actualidad el denominado “Fraude al CEO” está reconvirtiéndose en una nueva modalidad de estafa en la que los ciberdelincuentes hackean las cuentas de correo electrónico de los proveedores de servicio de las compañías para comunicarles a estas que han cambiado el número de cuenta en la que habitualmente abonan las facturas o, en otros casos, para obtener información de las operaciones vigentes, interceptar facturas legítimas o crear facturas falsas con objeto de modificar la cuenta por una propia que esté bajo su control.
De esta forma, una vez el cliente recibe la factura aparentemente legítima, procede a gestionar el pago en el nuevo número de cuenta.
Este tipo de fraude es ejecutado por organizaciones criminales que cuentan con un amplio conocimiento de las empresas a las que pretenden estafar: estructura interna, clientes, proveedores, operativa habitual, etc.
Recientemente han sido detectadas facturas manipuladas que forman parte de operaciones de leasing o renting, facilitadas a los bancos en forma de instrucciones de pago a un proveedor para adquirir los bienes que van a ser arrendados a la compañía.
¿Cómo se puede detectar y prevenir este tipo de fraude?
- Solicitando la cuenta de pago de forma previa a la formalización de una operación, verificando así que la cuenta de pago de la factura es la acordada previamente con el proveedor. En los casos de leasing, renting, etc., BBVA podrá requerir la cuenta de pago de la operación de forma previa a la factura.
- Confirmando el número de cuenta por una vía diferente como, por ejemplo, mediante una llamada. Asimismo, es recomendable solicitar un certificado de titularidad de la cuenta.
- Implantando las medidas técnicas necesarias para controlar en la medida de lo posible estas amenazas y reforzando los sistemas de control.
- Desarrollando un programa de concienciación a los empleados que incluya cómo detectar y prevenir un ataque de ingeniería social y cómo crear contraseñas robustas.
- Activando el doble factor de autenticación en todas las cuentas de correo, así como en el acceso a los sistemas de la compañía.
- Instalando siempre las últimas actualizaciones de los sistemas y de las aplicaciones.
- Manteniendo habilitados y actualizados sistemas de prevención de malware.