Este interesante artículo fue publicado el 23 de marzo de 2023 por David A. Sanmartín y nos trae un tema muy de actualidad como es el fraude a través de los e-mails.
Cuando nos encontramos en situaciones así, la contratación de un detective privado es fundamental para solucionar el problema.
"Las autoridades y expertos vienen anunciándolo desde hace años: los ciberdelitos no paran de aumentar año tras año y todo apunta a que seguirán haciéndolo. No siempre es fácil prevenirlos. Recientemente, un centro hospitalario de referencia en Barcelona vio sus sistemas comprometidos e inutilizados. Antes, varias empresas e instituciones oficiales habían sufrido los efectos de ataques similares.
Otros ataques, sin embargo, sí son evitables.
Una de las formas de fraude más comunes es el llamado Business Email Compromise (BEC). Básicamente, supone suplantar la identidad de otro (empresa o individuo) para, a través del email, lograr que el estafado haga algo, generalmente la transferencia de dinero a cuentas controladas por los defraudadores. El fraude del CEO es un supuesto de BEC, pero ni es el único, ni es el más habitual.
Recientemente, la Policía ha detenido a una persona por estafar 614.000 EUR a dos ayuntamientos. El “malhechor”: un joven de 20 años que, sin salir de casa ni despeinarse, se hizo pasar por una empresa proveedora y solicitó (con éxito) que el pago de determinadas facturas fuera transferido a una cuenta bajo su control. Poco dinero, para lo que podría haber sido. Y fácil de identificar, por la escasa preparación del estafador. En este artículo tratábamos esta modalidad de fraude y ofrecíamos unos sencillos consejos, que siguen siendo válidos.
Más significativo, en febrero pasado una investigación auspiciada por EUROPOL desarticuló una organización franco-israelí responsable de estafar 38 millones de euros a empresas europeas (algunas en España) con el método del fraude del CEO. Ocho detenidos, pero no más de 5 millones recuperados. No subestime a los estafadores: en España, con anterioridad, cayeron empresas farmacéuticas, navieras, de transportes… Los estafadores utilizan técnicas de ingeniería social para preparar sus ataques. Y no necesitan “hackear” los sistemas de la empresa: basta con encontrar a un empleado con facultades suficientes y convencerlo de que lo que le piden es legítimo (o no lo es, pero es en beneficio de la empresa).
Hemos tratado el fraude del CEO en varios artículos de este blog. Los consejos siguen siendo los mismos:
Informe a los trabajadores de la existencia de esta modalidad de fraude y de su incidencia.
Designe a un responsable en la organización y pida a todos los trabajadores que le remitan a esta persona cualquier correo atípico.
Parte del engaño es el uso de direcciones de correo electrónico que se confunden con las reales (por ejemplo, una i mayúscula se confunde con la L minúscula). Hable con el responsable de informática o su proveedor de correo para que incluya automáticamente un aviso al comienzo de todo mensaje recibido, indicando –cuando proceda- que “Este mensaje se ha recibido de un remitente externo” o “Este mensaje NO procede de nuestra empresa”.
Que el responsable de informática o su proveedor también ponga en cuarentena los mensajes enviados a posibles dominios sospechosos, incluyendo los que pueden confundirse con el de la empresa.
Denuncie a la Policía cualquier intento de estafa.
El Instituto Nacional de Ciberseguridad (Incibe) tiene una página dedicada al Fraude del CEO, aunque algunos consejos de prevención requieren conocimientos más allá de los de un usuario típico del e-mail.
Otras modalidades son más complejas que las dos anteriores. Una de ellas, también dentro del BEC, es suplantar a una empresa conocida para realizar un pedido a la defraudada. En un caso investigado por HAS, la suplantada fue una empresa energética pública italiana sobradamente conocida. La empresa defraudada, española, sirvió el material solicitado (200.000 EUR) sin objeción alguna y en el lugar indicado por su “cliente”. El material partía al día siguiente hacia terceros países, donde era entregado a un comprador final, que nada sabía del fraude y que pagó en una cuenta controlada por los estafadores. Nada se detectó hasta 60 días después, cuando vencía el pago de la primera factura. Para estos casos, una verificación a través de un despacho de investigación privada hubiera evitado ser víctima del fraude. De paso, verificar las credenciales de clientes (entre otros) es una excelente política de compliance. Dos por uno".
DAVID A. SANMARTIN
David A. Sanmartín, socio director de Grupo HAS - Detectives, es Detective Privado y Abogado, consultor de Seguridad Privada y profesor de Investigación Privada en la Universidad de Salamanca y en el curso avanzado de investigación del Colegio Oficial de Detectives Privados de Catalunya. Escribe sobre Investigación Privada, inteligencia, soporte en litigios y compliance. Es representante en España de la World Association of Detectives.
E-mail scams continue to increase: we reiterate a few tips
This interesting article was published on March 23, 2023 by David A. Sanmartín and brings us a very topical issue such as fraud through e-mails.
When we find ourselves in situations like this, hiring a private detective is essential to solve the problem.
"The authorities and experts have been announcing it for years: cybercrime continues to increase year after year and everything points to the fact that it will continue to do so. It is not always easy to prevent them. Recently, a leading hospital in Barcelona saw its systems compromised and rendered useless. Previously, several companies and official institutions had suffered the effects of similar attacks.
Other attacks, however, are preventable.
One of the most common forms of fraud is the so-called Business Email Compromise (BEC). Basically, it involves impersonating another (company or individual) in order, via email, to get the victim to do something, usually the transfer of money to accounts controlled by the fraudsters. CEO fraud is an example of BEC, but it is not the only one, nor is it the most common.
Recently, the police arrested a person for defrauding two local councils of EUR 614,000. The "wrongdoer": a young man in his 20s who, without leaving his home or leaving his hair uncombed, posed as a supplier company and requested (successfully) that the payment of certain invoices be transferred to an account under his control. Little money, for what it could have been. And easy to identify, due to the scammer's lack of preparation. In this article we discussed this type of fraud and offered some simple tips, which are still valid.
More significantly, last February an investigation sponsored by EUROPOL broke up a Franco-Israeli organization responsible for defrauding 38 million euros from European companies (some in Spain) using the CEO fraud method. Eight arrested, but no more than 5 million recovered. Do not underestimate the fraudsters: in Spain, pharmaceutical companies, shipping companies, transport companies... The fraudsters use social engineering techniques to prepare their attacks. And they do not need to "hack" the company's systems: it is enough to find an employee with sufficient powers and convince him that what they are asking for is legitimate (or it is not, but it is for the benefit of the company).
We have discussed CEO fraud in several articles on this blog. The advice remains the same:
Inform employees of the existence of this type of fraud and its incidence.
Designate a responsible person in the organization and ask all workers to forward any atypical mail to this person.
Part of the scam is the use of e-mail addresses that are mistaken for real ones (e.g., a capital i is mistaken for a lowercase L). Talk to your IT manager or your mail provider about automatically including a warning at the beginning of any message received, stating - where appropriate - that "This message has been received from an external sender" or "This message is NOT from our company".
The IT manager or your supplier should also quarantine messages sent to suspicious domains, including those that could be confused with the company's domain.
Report any attempted scam to the police.
The National Cybersecurity Institute (Incibe) has a page dedicated to CEO Fraud, although some prevention tips require knowledge beyond that of a typical e-mail user.
Other modalities are more complex than the previous two. One of them, also within the BEC, is to impersonate a known company to place an order with the defrauded one. In a case investigated by HAS, the impersonated company was a well-known Italian public energy company. The defrauded company, a Spanish company, delivered the requested material (EUR 200,000) without any objection and at the place indicated by its "client". The material left the following day for third countries, where it was delivered to an end buyer, who knew nothing about the fraud and who paid into an account controlled by the fraudsters. Nothing was detected until 60 days later, when the first invoice was due for payment. For these cases, a verification through a private investigation firm would have avoided being a victim of fraud. Incidentally, verifying customer credentials (among others) is an excellent compliance policy. Two for one.
DAVID A. SANMARTIN
David A. Sanmartín, managing partner of Grupo HAS - Detectives, is a Private Detective and Lawyer, Private Security consultant and professor of Private Investigation at the University of Salamanca and in the advanced investigation course of the Colegio Oficial de Detectives Privados de Catalunya. He writes about Private Investigation, intelligence, litigation support and compliance. He is the Spanish representative of the World Association of Detectives.