En su último Fraudcast, Dawn Brolin, CPA, CFE y CPA Stephen King se metió en una profunda discusión sobre el fraude cibernético.
Recordé a los oyentes desde el principio sobre el nuevo seminario web de Steve GrowthForce, que pueden ver a través del enlace en la página del podcast. El webinar coincide con su publicación The CEO’s Guide to Reducing Fraud , un recurso aprobado por Brolin donde se pueden encontrar detalles sobre el fraude cibernético en la página 11.
Para iniciar nuestra discusión, le pedí a Steve que diera un resumen del tema candente.
El fraude cibernético es cuando hay un robo a través del ordenador. En muchos casos, se comete a través del correo electrónico. Según Steve, el fraude cibernético se trata de phishing, es decir, cuando alguien intenta obtener información personal (nombre de usuario, tarjeta de crédito, número de seguro social o contraseña, por ejemplo) haciéndose pasar por un contacto de confianza. El «Spear Phishing», nos dijo, es más específico y ocurre cuando alguien intenta obtener información sobre una compañía.
El ACFE informa que así es como la gente se mete en el 70 por ciento de las violaciones de datos. El phishing de ballena es una forma de phishing de lanza que se dirige específicamente a los CEOs o a los gerentes de alto nivel. Estos estafadores aprenden todo lo que pueden sobre la persona que tiene la autoridad para transferir dinero y disfrazan su verdadera identidad en correos electrónicos, asustando y engañando a los administradores para que actúen.
En el tema del phishing, tener una cuenta pública en Facebook es una forma de ponerse en riesgo. Los ladrones pueden fácilmente buscar en el sitio a los dueños de negocios con el título de «CEO», convertirse en su amigo y echar un vistazo a su vida.
Steve describió su experiencia de primera mano con el fraude cibernético, recordando un momento en el que recibió un correo electrónico de su director de finanzas pidiéndole que hiciera una transferencia bancaria de 50.000 dólares. Steve respondió, declarándose, y no escuchó nada. Cuando habló con el director en persona, no tenía ni idea de lo que Steve estaba hablando. Además de las cuentas de Facebook, las falsificaciones utilizan fotos, correos electrónicos, manejos de Twitter, perfiles de LinkedIn y otras formas de medios sociales para cometer fraude.
Una técnica de fraude de la que Steve advirtió a los oyentes es el cambio de dígitos en los dominios de correo electrónico. Lo que normalmente sería «[correo electrónico protegido]» podría ser «[correo electrónico protegido]» si es un impostor. Es importante considerar cómo proteger a las empresas, como los individuos pueden ser protegidos del fraude cibernético.
Detect & Defend es un programa Intuit que yo mismo utilizo y que permite a los dueños de negocios comprobar su crédito, monitoriza la red oscura en busca de información y envía una alerta cuando se detecta una brecha.Ofrece un servicio de atención al cliente 24/7 en los Estados Unidos y cuesta 10 dólares al mes.
Como Steve señaló, las reglas de un negocio son diferentes a las de un individuo. Sólo tienes 24-48 horas para impugnar una transacción no autorizada en una cuenta de negocios, mientras que en una cuenta personal, normalmente tienes hasta 30 días.
Las medidas de seguridad como tener un recurso que ayude a mantenerse al tanto de las posibles infracciones o tener a alguien que supervise las transacciones todos los días son fundamentales. A veces, todo lo que se necesita es una cuenta bancaria y un número de ruta para que un estafador prevalezca.
Una vez tuve un empleado que pagó una cantidad decente de la cuenta por mí y recibió un correo electrónico de «yo» solicitando algo. Afortunadamente, lo atrapamos porque teníamos un proceso profesional entendido que le permitió reconocer rápidamente lo que yo haría y no le pediría que hiciera. Los controles internos son la razón por la que nos dimos cuenta de la estafa.
Steve señaló que una clave para mantener un buen sistema de control es tener una política escrita que describa lo que es un comportamiento aceptable y defina claramente por qué los empleados podrían ser despedidos.
También sugirió entrenar a los empleados en lo que son las estafas de phishing. Hay un software mencionado en La Guía del CEO (página 25 explora un rango de métodos de defensa) que permite a los dueños de negocios enviar correos electrónicos falsos y probar si los empleados compran en mensajes cuestionables. Steve recomendó KnowBe4.
Otro requisito preventivo es la doble autenticación. Invierte en recursos como SmartVault para obtener confirmaciones de texto o de voz. Emplea servicios anti-malware como Bitdefender, Malwarebytes, y Emsisoft para mayor protección. Los correos electrónicos son muy susceptibles a la corrupción, así que no asuma que son legítimos.
Al final, Steve nos recordó que el ciberfraude no aparece sólo en forma de un sospechoso príncipe nigeriano que quiere transferir dinero a su cuenta bancaria. Puede presentarse seriamente como un cliente o una fuente confiable, pero una bandera roja puede ser tan pequeña como la ortografía británica de una palabra enviada por un tejano. Manténgase atento a los puntos de vista de los dialectos. Cuando note algo que no le parezca bien, no lo ignore.