EL TRUCO DE REEMBOLSO
EstándarUn intrigante estudiante universitario sifones reembolsos de impuestos de varias grandes corporaciones.
Lecciones aprendidas
Aunque hay espacio para el debate sobre la gravedad de la sentencia de este estafador, el análisis de auditoría debe centrarse en cómo se cometió el fraude y qué se puede hacer para evitar que ocurra en el futuro. El método utilizado representa una forma única de fraude de phishing / correo, y la facilidad con que el hombre de Ontario lo perpetró contra la CRA es algo alarmante.
El delincuente simplemente descargó formularios disponibles públicamente del sitio web de la CRA para redirigir los depósitos directos realizados a varias grandes corporaciones, incluidas Coca Cola Ltd. y Shell Canada Ltd., a sus propias cuentas. Puso su información bancaria personal en el formulario y la envió por correo a la CRA. Luego se ingresaron en sus cuentas reembolsos por más de CA $ 41 millones relacionados con los Bienes y Servicios / Impuesto de Venta Armonizado. Aparentemente necesitaba hacer numerosas llamadas telefónicas, falsificar información y hacerse pasar por otros para tener éxito, pero funcionó, hasta que las instituciones bancarias se dieron cuenta del plan.
Este caso ilustra una variación de una nueva forma de fraude de phishing, donde los estafadores usan correos electrónicos / comunicaciones (cada vez más bien escritos, cordiales y libres de errores ortográficos y gramaticales) que pretenden provenir de CEO, directores financieros o directores de nómina. Los estafadores buscan convencer a los funcionarios para que cambien la cuenta bancaria y la información de ruta utilizada para el depósito directo de cheques. Este tipo de fraude está creciendo porque puede evitar más fácilmente muchos controles técnicos existentes. Además, si el perpetrador roba sumas más pequeñas, la organización de la víctima puede simplemente incluirlo en el costo de hacer negocios.
La CRA, y quizás otras agencias tributarias de todo el mundo, necesita revisar y fortalecer los controles sobre su sistema de depósito directo, si aún no lo ha hecho. Eso podría lograrse simplemente limitando el acceso a los procesos corporativos de depósito directo, como exigir que se administren a través del proceso de My Business Account de CRA. My Business Account es más segura que los sitios web y formularios públicos, a la vez que facilita las transacciones electrónicas. Ya sea que la agencia prefiera un proceso seguro de cuenta electrónica o continúe usando un método más público, se deben aplicar métodos de verificación adicionales, particularmente cuando se trata de un conjunto nuevo o modificado de información bancaria. Algunos de los métodos de verificación para prevenir estafas de phishing de depósito directo incluyen:
- Implemente un proceso de verificación de dos pasos o de múltiples factores.
- Solicite a los administradores, incluido el departamento de TI, que supervisen la actividad inusual, como los cambios realizados en la información bancaria y de contacto en una gran cantidad de cuentas durante un período breve.
- Cree una política que, después de un cambio en la información bancaria, requiera una reversión temporal al cheque en papel y / o contacto directo con el solicitante o el banco involucrado.
- Asegúrese de que las credenciales de inicio de sesión requeridas para los cambios en la cuenta / información bancaria sean diferentes de las credenciales utilizadas para otros fines.
Finalmente, la educación de los empleados debe cubrir áreas tales como:
- Técnicas comunes de ingeniería social y phishing.
- Higiene básica en ciberseguridad.
- Estrategias para identificar ataques de phishing, incluidas nuevas variaciones.
- Formas de salvaguardar la información personal y corporativa.
- Comportamiento en línea inseguro.
Autor:
Art Stewart es un consultor de gestión independiente con más de 35 años de experiencia en auditoría interna, gestión financiera, medición del desempeño, gobernanza y planificación de políticas estratégicas
No hay comentarios.:
Publicar un comentario