No es algo nuevo lo que os decimos hoy, pero al tratarse de un intento de estafa o estafa que se está multiplicando a nuestro alrededor en las últimas semanas, nos ha parecido oportuno publicar este post y dar algunos consejos.
Las estafas cometidas modificando la cuenta bancaria de pago de las facturas enviadas por correo electrónico están aumentando considerablemente. En el plazo de una semana hemos recibido dos peticiones de ayuda de nuestros clientes por este tipo de fraudes. El proveedor emite una factura a un cliente y los estafadores modifican la cuenta de pago de la factura para que el pago del cliente se lleve a cabo en la cuenta corriente del estafador. El problema es grave. El fraude es cada vez más sofisticado y tanto el emisor como el receptor no se dan cuenta del fraude hasta pasados unos días o semanas.
¿Cómo lo hacen?
Este engaño puede tener varias modalidades. Lo habitual es acceder a las cuentas de correo electrónico o servidores de correo y monitorizar los correos electrónicos. Es decir, la del proveedor que envía la factura (emisor) o del cliente que recibe la factura (receptor), controlando el correo electrónico de los emisores o receptores y adaptando los mensajes que les interesan.
Para llevar a cabo el fraude del cambio de cuenta bancaria pueden utilizar dos métodos [por lo menos]:
- Los estafadores utilizando un dominio similar al de los emisores sustituyendo los mensajes de correo habituales. Por ejemplo, cambiando una letra del email del proveedor utilizando un dominó que se parezca mucho. Si la cuenta original es «facturas@izt.eus» utilizando «facturas@iizt.eus». Si no prestamos atención, si leemos rápidamente, nos puede resultar fácil no darnos cuenta del cambio y caer en la trampa.
Se pueden utilizar diferentes formas de obtención de l as contraseñas de los buzones de correo por parte de los estafadores:
- Phishing: Previamente, nos envían un correo electrónico con apariencia real y nos advierten de que debemos cambiar nuestra contraseña de correo porque la seguridad de la cuenta ha estado en peligro. Para realizar el cambio se nos pedirá que escribamos la contraseña actual por seguridad. Con este truco, conseguirán acceder a nuestro buzón.
- Utilizando la contraseña de acceso a nuestro correo electrónico Existen métodos para ello [poner el post de contraseñas] En estos casos, la clave de acceso a la cuenta de correo electrónico está configurada con una contraseña de baja seguridad. A través de programas sencillos, en apenas unos minutos se hacen con clave.
¿Qué medidas de protección podemos adoptar?
Es difícil dar consejos eficaces. Y es que no es posible tomar medidas que nos protejan al 100%, pero además de estar atentos podemos tomar algunas medidas en nuestra organización:
- Domiciliar en la medida de lo posible los pagos recurrentes.
- Para pagos especiales, enviar los números de cuenta por otras vías.
- Firmar las facturas digitalmente: Esto no garantiza que los estafadores no cambien el mensaje, pero el receptor podrá comprobar si el mensaje ha cambiado o no.
- Configuración de buzones de correo electrónico con contraseñas sólidas. Para ello, las contraseñas deben tener una longitud mínima de 12 dígitos. Deben contener mayúsculas, minúsculas, números y símbolos.
- Si el servicio de correo utilizado por nuestra organización permite la verificación en dos pasos (DF2), activarlo.
- Utilizar un antivirus de garantía en nuestros equipos.
- Activar las actualizaciones de seguridad de nuestros equipos y aplicaciones de correo electrónico.
- Utilizar el sentido común. Si se va a enviar una factura importante, inmediatamente, una vez realizado el envío, póngase en contacto telefónico con el cliente y confirme los datos de pago que figuran en la notificación.
- Desconfía de los mensajes con una cuenta bancaria de pago diferente a la habitual. En estos casos, póngase directamente en contacto con el proveedor para confirmarlo antes de realizar el pago por otro medio.
- En el caso de que existan contratos de venta o de servicios, se podrá incluir una cláusula en la que se especifiquen las cuentas de pago en las que obligatoriamente deben realizarse los pagos. En caso de cambio de cuenta, se puede especificar un medio fehaciente para comunicar el cambio de cuenta corriente.
- Es recomendable introducir en el envío una segunda dirección de correo electrónico "copia oculta" a la que se pueda acceder. Con este simple gesto podemos tener un elemento adicional que nos permita determinar en qué puntos se violaron las comunicaciones. Para entregar el e-mail tendremos una segunda referencia temporal para compararla con el e-mail modificado.
- No utilices la misma contraseña en todas las cuentas
- Utilizar programans gestores de contraseñas para guardar contraseñas fuertes
Esperamos que con estos consejos y un poco de atención sobre el tema, se eviten este tipo de sucesos.
