En els darrers mesos s’ha disparat un tipus d’estafa que afecta moltes empreses, grans i petites: el frau del correu electrònic corporatiu, conegut també per les seves sigles en anglès BEC (Business Email Compromise). Aquest delicte consisteix a suplantar la identitat d’un proveïdor o client habitual per a enganyar l’empresa i fer que realitzi una transferència a un compte fals.

El mètode sol ser el mateix: els delinqüents s’infiltren en els correus de l’empresa o del proveïdor, detecten quan s’intercanvien factures, i envien un correu aparentment real amb un compte bancari modificat. El resultat: els diners acaben en mans dels estafadors.

Aquestes estafes ja han afectat a tota mena de negocis. Ningú n’està exempt.

Com aconsegueixen accedir els delinqüents?

Generalment, el frau comença amb una cosa tan simple com una contrasenya feble o una bretxa de seguretat. El ciberdelinqüent pot obtenir accés al correu de l’empresa o del proveïdor mitjançant:

• Phishing (un correu fals que roba contrasenyes)
• Malware instal·lat a l’ordinador o al servidor de correu
• Filtracions de dades anteriors

Una vegada dins, observen els intercanvis de factures i correus reals, copien l’estil i el llenguatge, i envien una versió falsa del missatge original canviant el número de compte.

Exemple: una empresa rep una factura habitual del seu proveïdor, però amb un petit canvi en l’IBAN. El correu sembla idèntic, amb el mateix logotip i signatura. Es fa el pagament… i els diners desapareixen.

Què fer si ja n’ha sigut víctima?

Si ha fet una transferència i sospita que el número de compte era fals, actuï immediatament:

1. Contacti amb el seu banc sense demora. Demani que bloquegin o intentin recuperar l’import. Encara que les transferències són irrevocables, les entitats poden contactar amb el banc receptor per a tractar de retenir els fons.

2. Denunciï els fets davant la Policia o Guàrdia Civil (Grup de Delictes Telemàtics).

3. Recopili proves: correus, factures, missatges, captures de pantalla i justificants de pagament.

Cada hora compta. Com més aviat es comuniqui millor, més probabilitats hi ha de recuperar part o tots els diners.

Com evitar aquest tipus de fraus

La bona notícia és que pot protegir la seva empresa amb mesures senzilles però efectives:

• Verifiqui sempre l’IBAN abans de pagar una factura, sobretot si el correu indica que ha canviat el compte habitual.
• Confirmi per telèfon o videotelefonada amb el proveïdor quan hi hagi qualsevol canvi en les dades de pagament.
• No confiï només en el remitent del correu. Els ciberdelinqüents poden falsificar adreces que semblen reals (per exemple, canviant una lletra).
• Revisi l’ortografia i el to del missatge. Un petit error pot delatar la suplantació.
•  Activi la verificació en dos passos en els seus comptes de correu professional.
• Formi el seu equip. Moltes estafes s’eviten amb personal ben format.

Recordi: els ciberdelinqüents no necessiten força ni armes, només un descuit.

Què diu l’INCIBE (Institut Nacional de Ciberseguretat)?

L’INCIBE ha alertat repetidament sobre aquesta mena de frau, destacant que els delinqüents perfeccionen cada vegada més els seus mètodes i resulten difícils de detectar.

Al seu web pot consultar consells pràctics per a identificar un correu fals o reportar un intent d’estafa: www.incibe.es.

Entre les seves recomanacions destaquen:

• Desconfiar de missatges urgents que demanen transferències immediates.
• Revisar sempre l’adreça completa del remitent.
• Evitar obrir enllaços o arxius adjunts sospitosos.
• Actualitzar l’antivirus i els sistemes operatius amb freqüència.

Consell de l’INCIBE: cap proveïdor seriós canvia el seu compte bancari per correu sense confirmar-ho per una altra via.

Per què és important comptar amb assessorament

Cada vegada més empreses incorporen protocols interns de verificació de pagaments i revisions de seguretat digital.

Al nostre despatx podem ajudar-lo a:

• Implantar un procediment de validació de factures i transferències.
• Revisar la política de seguretat informàtica i els accessos als correus.
• Formar al personal en prevenció de fraus digitals.
•  Assistir en la gestió de denúncies o reclamacions si l’estafa ja s’ha produït.

Evitar un frau no sempre depèn de la tecnologia, sinó dels hàbits. Revisar, confirmar i desconfiar a temps és la millor protecció.