miércoles, 14 de marzo de 2018

¿Qué es el “Man in the Middle”?


Albert Salvador Lafuente


¿Qué es?

El “Man in the Middle” es un esquema de fraude donde el defraudador es capaz de leer, agregar y modificar mensajes entre un cliente y un proveedor, siéndole posible observar e interceptar mensajes asociados a pagos entre las dos víctimas con el propósito de desviar fondos a una cuenta bancaria controlada por él.

Modus operandi

Un tercero ubicado en países preferentemente asiáticos, intercepta, distribuye y en ocasiones modifica correos electrónicos entre clientes y proveedores, haciéndose pasar por una o ambas partes.

Durante sus conversaciones, suplanta al proveedor, solicitando modificar el banco y la cuenta corriente de la entidad, presionando e incitando al deudor para que pague los adeudados a la nueva cuenta. A su vez, suplanta al cliente para ganar tiempo, justificando pagos atrasados al proveedor.

Una vez que el pago es realizado a la cuenta bancaria controlada por el defraudador, el “Man in the Middle” deja de interrumpir las comunicaciones y desaparece de escena.


Recomendaciones

§  Deben existir políticas y procedimientos claros, precisos y ampliamente comunicados respecto a la modificación de información sensible de proveedores (bancos o cuentas bancarias).

§  Ante solicitudes de modificación, tomar contacto con la contraparte (proveedor), en forma telefónica o video conferencia para confirmar la veracidad de los mensajes de correo recibidos y de la contraparte que los envía.

§  Cualquier cambio en estos datos debe ser documentado y autorizado por la alta administración o por personal a cargo de áreas como Finanzas o Contabilidad.

§  Se debe estar alerta a los nombres de dominio y extensiones modificadas en los correos, ampliamente usados por defraudadores en este esquema (en vez de @compañía.com, se utilizaría @commpañia.com,@com-pañia.com o compañía.cl).

§  Sospechar de correos con faltas de ortografía o gramática evidentes, especialmente en inglés.

§  Poner atención y notificar el hecho de recibir mensajes insistentes indicando presiones o urgencias en el requerimiento de pagos.

Este artículo fue publicado en su Blog Fraude Interno, el cual es un Blog creado con el objetivo de compartir conocimientos e inquietudes relacionados con el fraude interno, tanto con profesionales de la auditoria interna como con cualquier empresario o directivo que no disponga de un departamento de auditoria interna en su organización. Para mayor información debes visitar: https://fraudeinterno.wordpress.com/.

       ¿Te ha gustado la información? ¡Compártela con otro auditor interno!

No hay comentarios:

Publicar un comentario