viernes, 16 de agosto de 2019

EL TRUCO DE REEMBOLSO

Estándar
Ia Online Home

Un intrigante estudiante universitario sifones reembolsos de impuestos de varias grandes corporaciones.

Art Stewart | 15 agosto 2019 
El Tribunal de Apelación de Ontario ha dictaminado que un estudiante universitario que forma fraudulenta obtuvo más de CA $ 41 millones en reembolsos de impuestos debería haber sido condenado a 36 meses de cárcel, en lugar de los 13 originales meses de condena que recibió, el Toronto Sun informes. No obstante, el tribunal decidió dejar al individuo más tiempo en la cárcel, declarando que no podía justificar un castigo adicional.
El delincuente, ahora de 30 años, se declaró culpable en 2018 de presentar formularios de impuestos fraudulentos, representándose falsamente como un funcionario de varias entidades corporativas en una estafa que comenzó en 2013. Los reembolsos multimillonarios se depositaron en sus cuentas personales, aunque la diligencia bancaria impidió él de acceder a la mayor parte de los fondos. El hombre de Ontario logró retirar solo CA $ 15,000, que luego pagó a la Agencia de Ingresos de Canadá (CRA).

Lecciones aprendidas

Aunque hay espacio para el debate sobre la gravedad de la sentencia de este estafador, el análisis de auditoría debe centrarse en cómo se cometió el fraude y qué se puede hacer para evitar que ocurra en el futuro. El método utilizado representa una forma única de fraude de phishing / correo, y la facilidad con que el hombre de Ontario lo perpetró contra la CRA es algo alarmante.
El delincuente simplemente descargó formularios disponibles públicamente del sitio web de la CRA para redirigir los depósitos directos realizados a varias grandes corporaciones, incluidas Coca Cola Ltd. y Shell Canada Ltd., a sus propias cuentas. Puso su información bancaria personal en el formulario y la envió por correo a la CRA. Luego se ingresaron en sus cuentas reembolsos por más de CA $ 41 millones relacionados con los Bienes y Servicios / Impuesto de Venta Armonizado. Aparentemente necesitaba hacer numerosas llamadas telefónicas, falsificar información y hacerse pasar por otros para tener éxito, pero funcionó, hasta que las instituciones bancarias se dieron cuenta del plan.
Este caso ilustra una variación de una nueva forma de fraude de phishing, donde los estafadores usan correos electrónicos / comunicaciones (cada vez más bien escritos, cordiales y libres de errores ortográficos  y gramaticales) que pretenden provenir de CEO, directores financieros o directores de nómina. Los estafadores buscan convencer a los funcionarios para que cambien la cuenta bancaria y la información de ruta utilizada para el depósito directo de cheques. Este tipo de fraude está creciendo porque puede evitar más fácilmente muchos controles técnicos existentes. Además, si el perpetrador roba sumas más pequeñas, la organización de la víctima puede simplemente incluirlo en el costo de hacer negocios.
La CRA, y quizás otras agencias tributarias de todo el mundo, necesita revisar y fortalecer los controles sobre su sistema de depósito directo, si aún no lo ha hecho. Eso podría lograrse simplemente limitando el acceso a los procesos corporativos de depósito directo, como exigir que se administren a través del proceso de My Business Account de CRA. My Business Account es más segura que los sitios web y formularios públicos, a la vez que facilita las transacciones electrónicas. Ya sea que la agencia prefiera un proceso seguro de cuenta electrónica o continúe usando un método más público, se deben aplicar métodos de verificación adicionales, particularmente cuando se trata de un conjunto nuevo o modificado de información bancaria. Algunos de los métodos de verificación para prevenir estafas de phishing de depósito directo incluyen:
  • Implemente un proceso de verificación de dos pasos o de múltiples factores.
  • Solicite a los administradores, incluido el departamento de TI, que supervisen la actividad inusual, como los cambios realizados en la información bancaria y de contacto en una gran cantidad de cuentas durante un período breve.
  • Cree una política que, después de un cambio en la información bancaria, requiera una reversión temporal al cheque en papel y / o contacto directo con el solicitante o el banco involucrado.
  • Asegúrese de que las credenciales de inicio de sesión requeridas para los cambios en la cuenta / información bancaria sean diferentes de las credenciales utilizadas para otros fines.
Finalmente, la educación de los empleados debe cubrir áreas tales como:
  • Técnicas comunes de ingeniería social y phishing.
  • Higiene básica en ciberseguridad.
  • Estrategias para identificar ataques de phishing, incluidas nuevas variaciones.
  • Formas de salvaguardar la información personal y corporativa.
  • Comportamiento en línea inseguro.
Autor:
Art Stewart es un consultor de gestión independiente con más de 35 años de experiencia en auditoría interna, gestión financiera, medición del desempeño, gobernanza y planificación de políticas estratégicas
Publicado por

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)