Si de primeres et recomanéssim que desconfiïs de qualsevol comunicació urgent que rebis per part del teu cap, probablement no seguiries el nostre consell i de fet rebríem una crida d’atenció.
Tot i això, el “frau al CEO” és un tipus d’engany o estafa per correu electrònic (phishing), que consisteix precisament a fer-se passar per un alt directiu o càrrec responsable, i dirigir un e-mail a un departament crític (Financer, Administració, Tresoreria, etc.) per aconseguir:
– La realització d’elevades transferències de diners per motius urgents.
– El canvi de comptes bancaris d’un determinat proveïdor habitual, per desviar els pagaments de factures a un compte fraudulent.
– Punxar en un enllaç o descarregar un fitxer que infecti el nostre dispositiu amb un virus o ransomware.
Al següent vídeo, el nostre director general, Francisco Valencia, ens explica amb detall en què consisteix el “frau al CEO” i com podem evitar caure en aquest tipus d’estafa.
CAS REAL: Durant la pandèmia, vam poder veure com el Grup farmacèutic ZENDAL va ser víctima de tres correus fraudulents, que van sumar 9 milions d’euros en transferències a un compte fals a sol·licitud d’un “alt directiu” de l’empresa. Òbviament va resultar que un grup de ciberdelinqüents havien suplantat la identitat d’aquest alt directiu per sol·licitar el canvi de dades bancàries d’un suposat Proveïdor. Quan l’empresa a nivell comptable es va adonar de l’estafa, ja no va ser possible ni localitzar l’atacant, ni recuperar els diners.
ATENCIÓ: Atès que les empreses avui dia, en el millor dels casos, tenen potents filtres d’antispam i la major part de correus no desitjats queden directament bloquejats. L’INCIBE adverteix que els ciberdelinqüents han modificat les seves estratègies i estan optant per atacar així, però per altres mitjans com:
– Trucada telefònica suplantant la veu d’un alt directiu mitjançant programari específic.
– Missatgeria instantània del tipus Whatsapp, Telegram, Teams, Zoom o similars.
– Notificacions de plataformes web del tipus GoogleDrive, SharePoint i altres clouds.
RECOMANACIONS DE SEGURETAT: La principal mesura és aplicar el sentit comú, és a dir, és normal que un alt directiu de la nostra empresa ens sol·liciti alguna cosa amb aquesta urgència? Per això volem recordar-vos que abans de caure al parany hem de:
– Desconfiar del nom de l’àlies del remitent i fixar-nos sempre a l’adreça de correu que apareix en clicar a botó dret sobre aquest nom, per si fos falsa.
– Mai contestar el mateix missatge, punxar en enllaços o descarregar fitxers adjunts.
– Contactar a la persona o entitat que ens envia la petició a tall de confirmació de la sol·licitud, per altres mitjans alternatius que no vinguin al missatge (en persona, per telèfon, a través de la pàgina web, etc.).
– Encara que ens ho sol·liciti un alt directiu o un càrrec responsable, en cas de canvi d’un compte de proveïdor, contactar sempre amb aquest proveïdor per sol·licitar un justificant de titularitat bancària del compte a modificar.