Exemplo:
Imaxinemos que formamos parte dos departamentos de Administración, RRHH ou Financeiro e recibimos a solicitude dun suposto empregado ou do seu responsable directo, para cambiar o número de conta persoal no que percibe o seu salario.
Unha solicitude que poidamos entender como habitual ou mesmo inofensiva pode provocar graves prexuízos a nivel laboral se non seguimos os trámites e non realizamos unha correcta comprobación.
Situación actual:
Segundo estudos recentes, aínda que este ciberataque aínda non é un dos máis frecuentes, nos últimos 12 meses afectou aproximadamente ao 70% das empresas e entidades. E iso independentemente do seu sector de actividade, ou sexan públicos ou privados.
Implicando?
Consiste, de novo, en suplantar a identidade dunha persoa dentro da nosa empresa. A solicitude poderá recibirse por diferentes medios (correo electrónico, mensaxe de texto, teléfono, etc.). E non só a reciben as persoas que xestionan a nómina, senón que o ciberdelincuente tamén pode esperar que a solicitude se remita internamente ao departamento correspondente.
En caso de éxito, os traballadores cuxa identidade foi suplantada deixarán de percibir a súa nómina dun mes para outro. Porque terá sido desviado á conta dun ciberdelincuente.
Como podemos evitar isto?
Aplicando a lóxica común: dediquemos un tempo a revisar a solicitude.
- Se os procedementos internos indican que debe ser solicitado por correo ou a través dunha plataforma específica, non se fie de ningunha chamada nin mensaxe de texto ou voz que poidamos recibir, sen estar seguro de que non se trata dun engano.
- Aínda que a solicitude fose realizada polos medios de comunicación axeitados, fagamos unha segunda comprobación chamando á persoa que solicita o cambio. Isto permitiranos verificar se se trata dunha fraude ou dunha solicitude real. É moi importante que non intentemos facer esta comprobación respondendo á mesma mensaxe ou utilizando os datos de contacto indicados nela, porque poderiamos alertar ao ciberdelincuente da nosa sospeita e sería peor.
- Se é necesaria unha dobre aprobación ou verificación interna para realizar transferencias, non cambiamos a información de pago nin facemos este tipo de transaccións á lixeira. Por moito que se poidan entender como habituais. O ideal nestes casos sería solicitar o xustificante da titularidade da conta bancaria, para que quede constancia da lexitimidade deste cambio.
RECORDAMOS DE NUEVO: Se cres que foi vítima deste tipo de ciberataques, avisa ao Departamento de Informática, CISO ou DPO no traballo e a nivel persoal, denuncia á autoridade policial.