Albert Salvador Lafuente
¿Qué es?
El “Man in the Middle”
es un esquema de fraude donde el defraudador es capaz de leer, agregar y
modificar mensajes entre un cliente y un proveedor, siéndole posible observar e
interceptar mensajes asociados a pagos entre las dos víctimas con el propósito
de desviar fondos a una cuenta bancaria controlada por él.
Modus operandi
Un tercero ubicado en
países preferentemente asiáticos, intercepta, distribuye y en ocasiones
modifica correos electrónicos entre clientes y proveedores, haciéndose pasar
por una o ambas partes.
Durante sus
conversaciones, suplanta al proveedor, solicitando modificar el banco y la
cuenta corriente de la entidad, presionando e incitando al deudor para que
pague los adeudados a la nueva cuenta. A su vez, suplanta al cliente para ganar
tiempo, justificando pagos atrasados al proveedor.
Una vez que el pago es
realizado a la cuenta bancaria controlada por el defraudador, el “Man in the
Middle” deja de interrumpir las comunicaciones y desaparece de escena.
Recomendaciones
§
Deben existir políticas y procedimientos claros, precisos y ampliamente
comunicados respecto a la modificación de información sensible de proveedores
(bancos o cuentas bancarias).
§
Ante solicitudes de modificación, tomar contacto con la contraparte
(proveedor), en forma telefónica o video conferencia para confirmar la
veracidad de los mensajes de correo recibidos y de la contraparte que los
envía.
§
Cualquier cambio en estos datos debe ser documentado y autorizado por la
alta administración o por personal a cargo de áreas como Finanzas o
Contabilidad.
§
Se debe estar alerta a los nombres de dominio y extensiones modificadas
en los correos, ampliamente usados por defraudadores en este esquema (en vez de
@compañía.com, se utilizaría @commpañia.com,@com-pañia.com o compañía.cl).
§
Sospechar de correos con faltas de ortografía o gramática evidentes,
especialmente en inglés.
§ Poner atención y notificar el hecho de recibir
mensajes insistentes indicando presiones o urgencias en el
requerimiento de pagos.
Este
artículo fue publicado en su Blog Fraude Interno, el cual es un Blog creado con el objetivo de compartir conocimientos e
inquietudes relacionados con el fraude interno, tanto con profesionales de la
auditoria interna como con cualquier empresario o directivo que no disponga de
un departamento de auditoria interna en su organización. Para mayor
información debes visitar: https://fraudeinterno.wordpress.com/.
¿Te ha gustado la información? ¡Compártela con otro auditor interno!
¿Te ha gustado la información? ¡Compártela con otro auditor interno!
No hay comentarios:
Publicar un comentario