El procedimiento es conocido como «Man in the middle» o «Estafa del CEO»
Especialistas en Ciberdelincuencia de la Ertzaintza quieren alertar a las empresas, organismos y ciudadanos de esta modalidad de estafa que ha sufrido un incremento en los últimos meses en Gipuzkoa. Así desde enero del pasado año 2019 hasta marzo del actual se han recogido 59 denuncias, por valor 1.7 millones de euros. Ante este incremento se recomiendan una serie de consejos y de medidas de protección para evitar este fraude.
Durante los últimos meses la Ertzaintza ha detectado un incremento de las estafas cometidas informáticamente mediante el procedimiento conocido como «Man in the middle» «Hombre en medio» o también como la «Estafa del CEO». El modus operandi consiste en suplantar la identidad de los responsables de empresas u organismos oficiales para desviar pagos o realizar operaciones que benefician a los estafadores. En algunos casos también afecta a usuarios particulares de Internet que realizan compras en la Red.
El «hackeo» o suplantación de la identidad se realiza principalmente a través de la correspondencia electrónica mantenida con diferentes clientes y proveedores. Se trata de puentear al legítimo usuario para alterar su correspondencia electrónica y manipular cuentas bancarias tanto de los proveedores como de las propias víctimas con el fin de obtener el importe de los productos suministrados.
El control de las cuentas se puede realizar mediante la infección de los dispositivos con «malware» insertado en un correo electrónico o mediante técnicas de «phishing», en las que se engaña a la víctima para hacerse con sus claves y controlar de forma remota su dispositivo.
Los casos detectados en Gipuzkoa han sido 59, en el periodo comprendido entre enero de 2019 y marzo de 2020. El importe total del capital estafado asciende a 1.704.477 €, mientras que el correspondiente a los casos que han quedado en tentativa llegaría a los 1.335.714 €. Por lo que respecta al presente año, entre enero y marzo de 2020 se han recogido 15 denuncias en Gipuzkoa, en las que en 13 ocasiones se ha conseguido consumar la estafa por valor de 863.685 €. En los dos casos restantes el delito quedó en tentativa por valor de 37.235 €.
Consejos y recomendaciones para un acceso seguro
Ante esta amenaza, la Ertzaintza quiere trasladar a todos los usuarios una serie de consejos y recomendaciones para evitar este tipo de fraude:
. No seguir enlaces de correo electrónico. Es preferible teclearla dirección a la cual se quiere acceder.
. Ante un cambio de cuenta bancaria u orden de transferencia comprobar antes su veracidad mediante otros métodos, telefónicamente o presencialmente.
. En trámites bancarios hacer uso de la banca electrónica para evitar las suplantaciones.
. Alertar a los miembros de la organización de estas prácticas delictivas.
. Acceder a los sitios web con una conexión segura y evitar conexiones wifi abiertas. Si hay que acceder a una red pública evitar descargar información sensible, transmitir datos de inicio de sesión o realizar pagos.
. Mantener actualizados los navegadores y otros sistemas del dispositivo.
. Evitar usar redes de acceso libre o servidores no seguros.
. Mantener las contraseñas actualizadas y utilizar contraseñas diferentes para cada aplicación.
. Desconfiar de correos electrónicos de remitentes desconocidos y de aquellos dirigidos hacia grandes descuentos de productos pues pueden contener «Malware» con el que infectar nuestros dispositivos.
- Departamento de Interior Gobierno Vasco
- redaccion@gipuzkoadigital.com GipuzkoaDigital.com 28 Abril 2020
redaccion@gipuzkoadigital.com GipuzkoaDigital.com
Donostia San Sebastián GipuzkoaDigital.com
Gipuzkoa: rafamarquez@gipuzkoadigital.com
Rafa Marquez. Gestión de presencia en redes sociales… Facebook y Twitter para empresas en Gipuzkoa: rafamarquez@gipuzkoadigital.com LOCAL DIGITAL https://GipuzkoaDigital.com
FOTO https://GipuzkoaDigital.com
En Euskadi este año se han registrado 40 casos con un perjuicio de casi dos millones euros
La Ertzaintza alerta contra la estafa del CEO que tiene como víctimas a empresas y organizaciones
La Ertzaintza alerta a la ciudadanía en general pero especialmente a empresas y organizaciones de todo tipo, de la proliferación de la denominada estafa del CEO, un engaño informático que este año en Euskadi ha generado pérdidas de casi dos millones de euros en los cuarenta casos registrados. Esta modalidad de estafa, que ataca especialmente a empresas, distintas organizaciones y entidades públicas, se basa en el control remoto del correo electrónico de algún miembro de la dirección para luego desviar pagos a las cuentas de quienes cometen el fraude.
En el Territorio de Gipuzkoa, la Ertzaintza ha recogido un total de 21 denuncias en 2018. El montante total de lo estafado superaría los ochocientos mil euros, además de otros 4 hechos, en grado de tentativa, en los que habrían intentado apropiarse de otros doscientos treinta mil euros.
En el Territorio de Araba, los datos conocidos por la Ertzaintza en este 2018 indican que las denuncias presentadas por este tipo de delito ascienden a 12, y la cantidad estafada a los novecientos mil euros. Señalar que, de esas 12 denuncias interpuestas, 3 lo habrían sido en grado de tentativa.
Por último, en el Territorio de Bizkaia, se han registrado 7 estafas en 2018 de un montante total de ciento cuarenta y cinco mil euros. Dicha cifra se habría disparado en un millón y medio más de euros, de haberse consumado los 3 intentos de estafas detectados por personal de empresas afectadas.
Según ha podido comprobar la Ertzaintza, a partir de las investigaciones llevadas a cabo hasta ahora, la fórmula utilizada por quienes cometen el engaño consiste, en una primera fase, en conseguir acceso a la cuenta de correo electrónico de algún cargo principal de la empresa afectada , mediante la infección de un ordenador o mediante técnicas de «phising» (ingeniería social).
A partir de ahí, el autor o autora hace un seguimiento del correo de la víctima, de manera que cuando detecta pagos pendientes o periódicos, ya en una segunda fase, suplanta la identidad de la persona afectada y ordena desviar esos pagos a cuentas controladas por los estafadores o estafadoras
Además, el control que se ejerce sobre el correo de la víctima le puede permitir averiguar la existencia de deudas con terceras personas, el código de la cuenta bancaria de la víctima, su organización u otras organizaciones, lo que a su vez le permitiría extender su actividad de usurpación de identidad a más entidades u ordenar transferencias de dinero a sus cuentas.
Durante todo el tiempo que dura el control del correo electrónico usurpando su identidad, la víctima no es consciente de que esté ocurriendo nada anormal, ya que sigue con su habitual rutina de comunicaciones informáticas.
Como es comprensible, el daño para las empresas es grave, bien sea por el importe de dinero estafado, bien por el control que sobre las comunicaciones de la empresa, especialmente de su personal directivo, o por la necesidad de rehacer totalmente dicho sistema de comunicaciones tras conocer lo sucedido. Además, la probabilidad de recuperar el dinero estafado una vez conocido el ataque es muy baja.
Medidas de protección
Ante este tipo de ataques la Ertzaintza recomienda:
- Desconfiar de cualquier orden para la ejecución de pagos urgentes no previstos. Comprobar personal o telefónicamente con el superior.
- No seguir enlaces insertados en correo electrónico. Teclear manualmente la dirección a la cual se ha de acceder.
- Desconfiar ante un cambio de cuenta bancaria. Comprobar la veracidad de la misma por otros medios antes de realizar la transferencia.
- En los trámites bancarios, utilizar las plataformas digitales implementadas por las distintas entidades (banca electrónica) a fin de evitar suplantaciones de identidad.
- No insertar en los equipos pendrives ni ningún otro dispositivo hallado en la vía pública o en dependencias de la empresa de acceso público, dado que podría ser un ?caballo de troya? dispuesto para la infección de un ordenador o toda la intranet.
- Difundir entre el personal la organización el modus operandi de este tipo de delitos, a fin de que estén prevenidos y puedan adoptar medidas preventivas.
- Evitar contraseñas predecibles. Jamás anotarlas ni compartirlas.
- Nunca se debe responder a un correo en el que se solicite la contraseña.
- No participar en cadenas de mensajes reenviando correos. En caso de tener que enviar un mail a varias personas utiliza el campo «CCo» para evitar dar a conocer la dirección remitente.
Departamento de Interior Gobierno Vasco
..
redaccion@gipuzkoadigital.com GipuzkoaDigital.com 13 Noviembre 2018
Donostia San Sebastián
Foto GipuzkoaDigital.com Donostia San Sebastián En Gipuzkoa: rafamarquez@gipuzkoadigital.com
Rafa Marquez. Gestión de presencia en redes sociales… Facebook y Twitter para empresas en Gipuzkoa: rafamarquez@gipuzkoadigital.com LOCAL DIGITAL
…………………….
..
Euskadin 40 kasu izan dira aurten, eta ia bi milioi euroko kaltea eragin dute
Ertzaintzak CEO iruzurraz ohartarazi nahi du; biktimak enpresak eta antolakundeak dira
Ertzaintzak herritarrei, oro har, eta enpresei eta era guztietako antolakundeei, bereziki, ohartarazi nahi die ugaltzen ari dela CEO iruzurra izenekoa. Iruzur informatiko horrek ia bi milioi euroko galerak eragin ditu aurten Euskadin erregistratu diren berrogei kasuetan. Iruzur-modalitate horren biktimak bereziki enpresak, era guztietako antolakundeak eta erakunde publikoak dira. Iruzurra zuzendaritzako kide baten posta elektronikoaren urrutiko kontrolean oinarritzen da, eta ordainketak iruzurgileen kontuetara desbideratzen ditu.
Gipuzkoako lurraldean Ertzaintzak guztira 21 salaketa jaso ditu 2018an. Orotara zortziehun mila eurotik gorako iruzurra egin da, eta beste 4 kasutan ahalegindu dira iruzur egiten eta beste berrehun eta hogeita hamar mila euro kentzen.
Arabako lurraldean, Ertzaintzak 2018an jakindako datuen arabera, era honetako delituekin lotutako 12 salaketa aurkeztu dira guztira, eta bederatziehun mila eurokoa izan da iruzurra. Adierazi behar da jarritako 12 salaketa horietako 3tan iruzur-ahalegina salatu zela.
Azkenik, Bizkaiko lurraldean iruzur horren 7 kasu izan dira 2018an, eta ehun eta berrogeita bost mila eurokoa izan da iruzurra guztira. Zifra horri beste milioi t?erdi euro gehitu beharko genizkioke baldin eta kaltetutako enpresetako langileek hautemandako 3 ahaleginak burutu izan balira.
Orain arte egindako ikerketen bidez Ertzaintzak egiaztatu ahal izan duenez, iruzur hori egiten dutenek formula jakin bat erabiltzen dute. Lehenengo fase batean hautatutako enpresako arduradun baten posta elektronikoaren kontura sartzea lortzen dute, ordenagailu bat kutsatuta edo ?phising? tekniken bidez (ingeniaritza soziala).
Hortik aurrera, biktimaren postaren jarraipena egiten dute, eta egin gabeko ordainketak edo aldian behin egiten direnak hautematen dituztenean, eta bigarren fase batean, pertsona horren identitatea hartzen dute eta ordainketa horiek iruzurgileek kontrolatutako kontuetara desbideratzeko agindua ematen dute.
Gainera, biktimaren posta kontrolpean dutenez, hirugarren pertsonekin zorrik duen eta biktimaren bankuko kontuaren kodea eta horren antolakundea edo beste batzuk zein diren ere jakin dezakete, eta, era horretara, antolakunde gehiagoren identitatea usurpatu eta dirua euren kontuetara transferitzeko agindua eman dezakete.
Biktimaren identitatea usurpatuta bere posta elektronikoa kontrolatzen duten denbora guztian, hura ez da ezertaz jabetzen, komunikazio informatikoen ohiko errutinarekin jarraitzen baitu.
Ulertzekoa den moduan, enpresei kalte larria egiten zaie, bai lapurtzen zaien diru-kopuruagatik bai enpresaren, eta, bereziki, horietako arduradunen, komunikazioak kontrolatuta dituztelako, eta horrek eskatzen du, gertatutakoa jakin ondoren, komunikazio-sistema guztia goitik behera berritu beharra. Gainera, behin erasoaren berri izan ondoren aukera txikia dago iruzurraren bidez kendutako dirua berreskuratzeko.
Babes-neurriak
Era horretako erasoen aurrean, Ertzaintzak gomendatzen du:
– Aurreikusi gabe dauden presazko ordainketak egiteko aginduez ez fidatzea; aurrez aurre edo telefono bidez egiaztatzea arduradunarekin.
– Ez jarraitzea posta elektronikoan txertatuta dauden estekak. Eskuz idaztea sartu behar den helbidea.
– Bankuko kontua aldatzen bada, ez fidatzea. Transferentzia egin aurretik benetakoa den egiaztatzea, beste baliabide batzuen bidez.
– Bankuko tramiteetan, erakundeek ezarritako plataforma digitalak (banku elektronikoa) erabiltzea, identitatea usurpatzerik izan ez dezaten.
– Ekipoetan ez sartzea kalean edo edonor sar daitekeen enpresako guneetan aurkitutako pendrive edo antzekorik, ordenadore bat edo Intranet osoa kutsatzeko prestatutako ?Troiako zaldi? bat izan baitaiteke.
– Antolakundeko langile guztiei azaltzea era horretako delituen modus operandia, jakinaren gainean egon daitezen eta prebentzio-neurriak hartu ahal izan ditzaten.
– Ahal dela, iragar daitekeen pasahitzik ez erabiltzea. Pasahitzak inoiz ez idaztea, ez partekatzea.
– Inoiz ez erantzutea pasahitza eskatzen duen postari.
– Ez parte hartzea mezuak birbidaltzeko mezu-kateetan. Mail bat pertsona bati baino gehiagori bidali behar izanez gero, ?CCo? eremua erabiltzea bidaltzailearen helbidea jakitera ez emateko.
