Acostuma a ser habitual que empreses com KPMG, Deloitte, PWC o Ernst & Young assessorin grans empreses en compres internacionals. Sota aquesta màscara, la companyia farmacèutica Zendal, ha estat objecte d’una milionària estafa, a l’ésser enganyat el Director Financer i aconseguir que, en quatre dies, de l’19 a el 23 de novembre passats, realitzés una vintena de transferències per un valor total de 9,7 MM d’euros amb una metodologia coneguda com l’estafa del C.E.O.
Els estafadors es van valdre de la imatge de serietat de la companyia suplantada per duu a terme el seu milionari pla. D’una banda, van suplantar la identitat del responsable de l’empresa (CEO) creant un compte de correu electrònic corporatiu des de la qual van ordenar al seu subordinat que realitzés les transferències amb total discreció. Per una altra, es van fer passar per auditors de KPMG per girar per via telemàtica les ordres de pagament i les corresponents factures falses. L’empleat de l’empresa va confiar cegament en les ordres rebudes i va atendre tots els requeriments de pagament que li venien arribant des del compte fals de KPMG creada pels hackers. Tot i que la estafada no ha dit res més, és més que probable que estigués pel mig l’argument de la confidencialitat davant l’adquisició immediata d’una nova empresa.
El frau es va descobrir perquè, davant la falta de liquiditat, el director financer va decidir parlar personalment de l’assumpte amb el seu cap, que va negar haver ordenat que efectués cap pagament a cap empresa. En aquell moment, ja era tard.
Aquest tipus d’estafa és coneguda com l’estafa del CEO i està resultant un model d’atac molt lucratiu per als ciberdelinqüents.
Al setembre de 2019, L’Empresa Municipal de Transports (EMT) de València va patir una estafa milionària pel mateix procediment: la seva cap d’administració va transferir (varia segons les fonts) entre 4 i 5 milions € en 8 transferències a un compte bancari del Bank of China, situada a Hong Kong, creient que participava en una operació de compra d’una societat, i que aquesta era confidencial i secreta, ja que així l’hi indicava en un correu Giuseppe Grezzi, el seu màxim responsable, conseller de Mobilitat Sostenible de l’Ajuntament de València.
És el mateix “modus operandi”: l’estafador truca o envia correus electrònics fent-se passar per un alt càrrec de la companyia (p. Ex. El CEO) i sol·licita que es faci un pagament urgent (a un banc internacional fora de UE) o que li enviï determinada informació confidencial. També li indica a l’empleat que no segueixi els procediments d’autorització habituals. Les instruccions sobre com procedir pot donar-li posteriorment una tercera persona (en el cas anterior KPMG) i utilitzar expressions com “Confidencialitat”, “La companyia confia en tu”, “Ara mateix no estic disponible” i acostuma fer referència a una situació delicada ( p. ex. una inspecció fiscal, una fusió o una adquisició).
Per descomptat, l’estafador coneix bé com funciona l’organització. El més habitual és que tingui monitoritzats els correus electrònics (que prèviament ha hackejat) i hagi estat diversos mesos accedint al correu electrònic de Grezzi, (a més a més d’altres membres de l’EMT) per estudiar els seus patrons de conducta, tant en la seva forma d’escriure, com en els seus mandats, però sobretot la seva relació professional amb la cap d’administració, perquè quan portessin a terme la suplantació aquesta no sospités res, com així va ser.
En aquest cas, a més a més, la cap d’administració va ser acomiadada fulminantment (per fer cas del que li deia el seu cap, o així ho va creure ella), quan l’origen va estar en una errada de seguretat que ocasionava una bretxa de seguretat informàtica de primer nivell “Epic Fails”, en els servidors de correu electrònic del tot poderós ajuntament de València.
Però, i si haguessin hackejat tots els comptes de correu de tots els regidors de l’ajuntament de València per veure quin era la baula més feble? I, per què es va triar el compte de Grezzi i com a víctima la de la cap d’administració de l’EMT? I per què l’EMT i no una altra?
Aquest tipus de ciber atac està molt treballat. No és una casualitat com el del “phishing” tradicional que realitzen enviaments massius indiscriminats. En el frau del CEO hi ha un treball previ de selecció de l’empresa i elecció de la víctima.
S’afegeix, la possibilitat que els hackers hagin accedit a un altre tipus d’informació com la de caràcter personal o confidencial d’ambdues, EMT i Ajuntament. En aquest cas és imperatiu comunicar a l’AEPD, (Agència Espanyola de Protecció de Dades) la fallida de seguretat i esperar que no arribin reclamacions civils dels perjudicats.
Arribats a aquest punt, res. Aquestes bandes de delinqüència organitzada cometen els seus delictes des de la Deep i la Dark web i solen tenir la seva central d’operacions física en països africans (Nigèria fonamentalment). La brigada de delictes telemàtics tindrà fàcil descobrir la IP amb la qual s’ha realitzat el hackeig, a quants i a quins, però el normal és que aquesta IP estigui allotjada a Nigèria, Gàmbia, Zimbabwe … etc. on un cop arribat allà, es perdrà tot rastre del seu titular.
El mateix passarà amb els diners, res a fer. Un cop arribat a Hong Kong, que és un paradís fiscal, en el cas que es demani comissió rogatòria, no tindrem resposta, perquè hi ha el secret bancari. És més, encara que ens donessin accés als comptes, el normal és que utilitzin comptes mòbils o de salt, és a dir, que canvien o saltin de país en país, per dificultar la seva traçabilitat final i per descomptat el buidatge de les mateixes és d’immediat.
I per acabar, alguna cosa ens diu molt clarament que no es tenia implantada a l’EMT cap alerta inicial o doble control de pagaments. Va ser el mateix banc que va avisar que s’estaven realitzant transferències inusuals (fora del patró financer particular de l’EMT). I encara sort, ja que el dany hagués pogut ser més gran.
Amb la conscienciació de la direcció de l’empresa en la prevenció, la informació i la formació dels treballadors.
