Historias reales: Espiaron nuestros correos con los clientes y ¡casi nos timan!

39 0

Pepe Pérez trabajaba en el área comercial de su empresa. Cuando cerró el último pedido, vía telefónica, con su cliente ubicado en Argentina, sabía que
no habría ningún contratiempo con ese pedido. Ese cliente era uno de los habituales, con los que había trabajado varias veces y ya conocía el procedimiento que la empresa de Pepe utilizaba para enviar la mercancía solicitada y recibir el pago correspondiente. El procedimiento era el siguiente: cuando el pedido estaba preparado, Pepe a través de un correo electrónico, informaba a sus clientes de los detalles de la transferencia y del envío: cuándo debía realizar el pago, a qué número de cuenta, qué cantidad debía ingresar, la fecha prevista en la que el pedido saldría del almacén… Ésta es una forma de trabajar muy habitual y extendida. Gracias a un medio como el correo electrónico se ahorra tiempo y dinero en la gestión.

Unos días después de haber cerrado el pedido, avisaron a Pepe de que ya estaba preparado para ser enviado. Por lo que Pepe se dispuso a redactar el correo electrónico correspondiente, en el que informaba a su cliente sobre los detalles del envío del pedido y de su pago, y así lo hizo.work-933061_640

Pero esa misma tarde recibió un correo de su cliente. Le escribía desde su cuenta personal, para avisarle de que desde hacía un par de días estaban teniendo problemas con su servidor de correo corporativo. Además le señalaba que si necesitaba comunicarse con él que lo hiciese enviándole los correos a su cuenta personal hasta que los problemas técnicos estuviesen resueltos.

A Pepe no le resultó extraño, ya que este tipo de problemas suelen darse puntualmente en cualquier empresa. Pepe le re-envió a la nueva cuenta el correo en el que le detallaba el proceso de envío del pedido y del pago. En el correo, Pepe le pedía al cliente que hiciese un ingreso del 50% del importe total del pedido en una cuenta bancaria conocida por ambos. Este ingreso debía realizarse en las siguientes 48 horas después de haber recibido el correo y una vez recibido, se le enviaría la mercancía.

post_caso_real_incidente_scam_carta_maliciosa

Lo que sí le extrañó a Pepe fue que, pasadas las 48 horas de plazo, más unas cuantas horas más de cortesía, su cliente no hubiese hecho el pago que se le pedía. Nunca antes le había pasado algo así con él y de hecho, este cliente era conocido por su puntualidad en los pagos. Pepe pensó que algo importante debía haber pasado para que esta vez el pago no hubiese llegado.

Pepe decidió ir al grano y ser directo. En lugar de volver a contactar con su cliente por correo electrónico, le llamó por teléfono.

Cuando habló con él, su respuesta le dejó perplejo. Según su cliente, Pepe le había enviado un primer correo en el que le detallaba cómo hacer el primer pago del pedido en la cuenta de banco habitual. Poco después, había recibido un segundo correo electrónico desde su cuenta de correo personal, avisándole de que estaban teniendo problemas con el correo y banco habitual. Además le destacaba que el pago que debía hacer para recibir su pedido, debía hacerlo en otra cuenta nueva que le facilitaba en el mismo correo.

El cliente no había desconfiado del segundo correo porque la forma de dirigirse a él era la habitual. Se refería al pedido que acababa de cerrar con Pepe, igual que el primer correo, y el procedimiento de pago era el mismo con la salvedad de la cuenta bancaria.

Este es un caso real «tipo» en el que por cuestiones de confidencialidad no se proporciona el nombre real ni de las empresas ni de los empleados involucrados.

¿Qué fue realmente lo que pasó?

…os estaréis preguntando. Lo que pasó fue lo siguiente: Un grupo de ciberdelincuentes organizado había «pinchado» la línea (bien en el emisor, bien en el receptor, bien en el propio proveedor de servicios de correo electrónico). Y este grupo tuvo acceso a todos los correos intercambiados por Pepe y su cliente. Los ciberdelincuentes estuvieron «leyendo» el intercambio de correos durante un tiempo para ver cómo operaba la empresa de Pepe, recabar información sobre sus clientes, tipo de transacciones realizaban, etcDespués de aprender el modus operando de la empresa de Pepe, cuando vieron el momento adecuado para actuar, lo hicieron.

Esto se conoce con el nombre de SCAM. Se utiliza para definir los intentos de fraude online cuando existe perjuicio económico para la víctima. Hay grupos organizados que trabajan en engaños mucho más elaborados.

¿Cómo llevaron a cabo el engaño?

Cuando Pepe cerró el trato con su cliente y envió el correo a su cliente, los ciberdelincuentes ya conocían cuál era el procedimiento a seguir, así que suplantaron la identidad de Pepe. Engañaron al cliente de Pepe haciéndose pasar por él y enviando en su nombre el segundo correo en el que solicitaban que el ingreso se realizase en otra cuenta, controlada por ellos. ¿Cómo lo hicieron? Muy sencillo, siguieron estos pasos:

 

  1. Crearon una dirección en un proveedor de correo gratuito (Hotmail, Gmail,…) similar a la que usaba Pepe (pepeperez_empresaA@hotmail.com).
  2. Usaron esa dirección para enviar un correo al cliente de Pepe, donde explicaban, haciéndose pasar por él, que su empresa estaba teniendo problemas con el banco y el correo habitual, y necesitaban que realizase la transferencia en una cuenta alternativa (fraudulenta, controlada por los atacantes). Este correo era completamente natural, siguiendo el estilo habitual, dirigiéndose al cliente por su nombre, hablando del pedido que ambos conocían… claro, recordemos que habían estado leyendo sus correos durante un tiempo.
  3. El número de cuenta alternativo que utilizaron podía haber sido de un tercer país, pero era de una entidad española, seguramente para no levantar sospechas, ya que si la empresa de Pepe está ubicada en España, era raro que de repente tuviese una cuenta en Chipre, por poner un ejemplo, ¿verdad?
  4. Además, los ciberdelincuentes engañaron a Pepe, siguiendo el mismo método (problemas con el correo electrónico y una nueva cuenta de e-mail aparentemente de su cliente pero controlada por ellos) para que no remitiese correos electrónicos a la cuenta de correo habitual de su cliente: el grupo organizado estaba distrayendo a ambos extremos de la comunicación…
  5. El cliente, con total confianza, hizo el ingreso en la cuenta fraudulenta controlada por los atacantes (al fin y al cabo, se lo había dicho el propio Pepe, en su supuesto correo electrónico).

A partir de ese momento, el fraude se había consumado y en teoría, a la empresa de Pepe le habían robado el importe de la transacción que habían intervenido.

Afortunadamente, y gracias a la rápida reacción de Pepe detectando el comportamiento anómalo en el pago, el fraude fue detectado a tiempo. Su cliente pudo anular la transacción bancaria hacia la cuenta fraudulenta y recuperar su dinero para, esta vez sí, realizar el pago a quién realmente correspondía, la empresa de Pepe. Una vez hecho esto, lo siguiente fue denunciar los hechos.

Este caso real es uno de los muchos que suceden cada día. Éste es un modus operandi típico de grupos de ciberdelincuentes organizados que buscan el beneficio económico y actúan con relativa impunidad desde países con legislación laxa en esta materia. Da igual que la empresa se dedique a fabricar figuras de cerámica o a hacer muebles, que sea una infraestructura crítica, que sea grande o pequeña, o que trabaje para sectores sensibles.

 

¿Qué hacer si nos sucede esto?

Denunciar es lo primero y, como consejo, lo segundo debería ser gestionar el incidente e identificar cómo, dónde y cuándo ha operado la mafia para que no vuelva a suceder. En este caso, si nosotros no sabemos cómo gestionar de manera correcta el incidente, es conveniente dejar a los profesionales que trabajen en su resolución, que sean los que recopilen y guarden las pruebas periciales y evidencias adecuadamente, para el posterior proceso judicial. Y si además, podemos hacer que el cliente cancele la transacción y recupere su dinero, mejor.

¿Qué hacer para que no nos suceda?

Sólo dos palabras: precaución racional… y por supuesto transmitir esa misma precaución racional a nuestros clientes. Seamos cautelosos y hagamos que nuestros clientes también lo sean con las nuevas direcciones de correo, nuevos números de cuenta, supuestos problemas técnicos con el banco o con el proveedor de correo electrónico… Si sospechamos, utilicemos medios alternativos para confirmar que todo es correcto y, sobre todo, denunciemos los hechos, aunque no se hayan consumado.

Después de este susto, la empresa de Pepe implantó, entre otras, una medida de seguridad fundamental para evitar este tipo de fraudes, que es cifrar toda la información confidencial que envían por correo electrónico a clientes/proveedores, para evitar que terceros no autorizados puedan tener acceso a ésta.

Total 0 Votes
0

Tell us how can we improve this post?

+ = Verify Human or Spambot ?

About The Author

No hay comentarios on "Historias reales: Espiaron nuestros correos con los clientes y ¡casi nos timan!"

Leave a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *