Exemple:
Imaginem que formem part dels departaments d’Administració, RRHH o Financer i rebem una sol·licitud per part d’un suposat empleat o del responsable directe, per canviar el número de compte personal en què rep el seu salari.
Una petició que podem entendre com a habitual o fins i tot inofensiva, pot causar greus danys a nivell laboral si no seguim els procediments i no fem una comprovació correcta.
Situació actual:
D’acord amb estudis recents, tot i que aquest ciberatac no és encara dels més habituals, sí que ha afectat aproximadament un 70% d’empreses i entitats en els últims 12 mesos. I això amb independència del sector d’activitat, o de si són públiques o privades.
Què implica?
Consisteix, novament, a suplantar la identitat d’una persona dins la nostra empresa. La petició es podrà rebre per diferents vies (correu electrònic, missatge de text, telèfon, etc.). I no només la reben les persones que gestionen les nòmines, sinó que el ciberdelinqüent també pot esperar que internament es reenviï la petició al departament que correspongui.
En cas d’èxit, els treballadors la identitat dels quals s’ha suplantat deixaran de percebre, d’un mes a un altre, la nòmina. Perquè aquesta haurà estat desviada a un compte d’un ciberdelinqüent.
Com podem evitar això?
Aplicant la lògica comuna: Prenem-nos un temps per revisar la petició.
- Si en procediments interns s’indica que s’ha de sol·licitar per correu o per una plataforma específica, no confiem en qualsevol trucada o missatge de text o veu que puguem rebre, sense estar segur que no es tracta d’un engany.
- Tot i que la petició s’hagi realitzat per la via de comunicació adequada, fem una segona comprovació trucant a la persona que ens està sol·licitant el canvi. Això ens permetrà verificar si és un frau o és una petició real. És molt important que no intentem fer aquesta comprovació contestant al mateix missatge o fent ús de dades de contacte indicades, perquè podríem posar en alerta de la nostra sospita al cibercriminal i seria pitjor.
- Si per fer transferències es requereix una doble aprovació o comprovació interna, no canviem dades de pagament, ni fem aquest tipus de transaccions a la lleugera. Per molt que es puguin entendre com a habituals. L’ideal en aquests casos seria sol·licitar un justificant de titularitat de compte bancari perquè quedi constància de la legitimitat d’aquest canvi.
RECORDEM NOVAMENT: Si creus que has estat víctima d’aquest tipus de ciberatac, avisa d’això en l’àmbit laboral el Dept. d’IT, CIS o DPO i en l’àmbit personal denuncia’l davant l’autoritat policial.