Era solo otro día hábil. El equipo de cuentas por pagar estaba emitiendo pagos a los proveedores cuando llegó un correo electrónico que les indicaba que cambiaran la información bancaria de un proveedor. Un empleado se encargó del cambio y los fondos se enviaron según lo solicitado, pero el proveedor nunca recibió los fondos. Más tarde se descubrió que el dinero fue a una cuenta fraudulenta que se proporcionó a través de un correo electrónico comercial comprometido.
A otra compañía se le alteró y cobró un cheque de seis cifras después de ser robado de un buzón del Servicio Postal de los Estados Unidos. El fraude está golpeando duramente a las empresas a diario.
Las pérdidas relacionadas con las denuncias de delitos cibernéticos alcanzaron los 12.5 millones de dólares en 2023, un aumento de 2.000 millones de dólares año tras año y más del triple de la cantidad registrada en 2019, según el Informe de delitos en Internet del FBI.
"Para las empresas, no es una cuestión de 'si', sino de 'cuándo' en estos días", dijo Linda Marcum, directora de habilitación de ventas de tesorería de BOK Financial®, y agregó que las empresas deben estar preparadas para lo inevitable porque, en algún momento, un estafador intentará robarle datos, información o dinero.
5 formas en que los estafadores atacan a las empresas
- Adquisición de cuentas. Los estafadores obtienen acceso no autorizado a cuentas, incluida la banca personal y corporativa en línea, administración de patrimonio, inversiones y corretaje, y toman el control de la cuenta para usarla en actividades maliciosas, como poner a la venta identificaciones de usuario con información de inicio de sesión y contraseñas expuestas.
- Fraude de cheques. Los cheques robados son "lavados" o manipulados digitalmente para luego vender los cheques falsos o usarlos para limpiar fondos de las cuentas.
- Cuentas de mulas. Estas cuentas permiten que un estafador use su cuenta para transferir dinero y quedarse con una parte como soborno.
- Tarjetas de pago comprometidas. La información de la tarjeta de crédito robada, como el número de tarjeta, un nombre o una fecha de vencimiento, se utiliza para realizar compras o vender la información de manera maliciosamente no autorizada.
- Violación de seguridad. Los estafadores obtienen acceso no autorizado a datos confidenciales, como el pago del cliente o la información de identidad, para usarlos maliciosamente.
Las empresas siguen usando cheques y se los están robando
Enviar un cheque por correo no es tan seguro como solía ser. "El Servicio Postal de los Estados Unidos continúa creando conciencia sobre la cantidad de artículos robados de los buzones azules y los trabajadores postales que son robados por sus teclas de flecha que desbloquean cajas de seguridad para códigos postales específicos", dijo Scott Edwards, director de gestión del riesgo de fraude en BOK Financial.
Agregó que hay una barrera de entrada baja para que un estafador establezca una red de cheques falsificados, lo que lo convierte en un delito popular, y señaló que solo se necesitan alrededor de $ 400 para comprar el equipo y los cheques robados vendidos en foros de fraude.
Cada vez que envía un cheque por correo, potencialmente está proporcionando la información de su cuenta bancaria a un delincuente: el nombre de la cuenta, el número de cuenta, el número de ruta bancaria, la dirección y una muestra perfecta de una firma autorizada.
La Asociación de Profesionales Financieros (AFP) Encuesta anual sobre fraudes en los pagos encontró que los cheques siguen siendo el método más vulnerable de fraude de pago, con el 65% de los encuestados informando haber enfrentado este tipo de ataque. Esto se debe en gran parte a que los cheques se envían por correo y luego se roban en el camino. El Servicio Postal de los Estados Unidos experimentó un aumento del 10% en esta actividad desde la encuesta 2022.
Si su empresa desea continuar usando pagos con cheque, debe revisar todas las herramientas de protección disponibles. Es importante saber que no puede simplemente acudir al banco para que lo rescate si los estafadores logran limpiar miles de sus cuentas bancarias mediante el uso de cheques falsificados, dijo Marcum.
"El banco agrega continuamente protecciones para ayudar a detectar artículos fraudulentos, pero las empresas también necesitan revisar continuamente cómo se están protegiendo", dijo.
En BOK Financial, el equipo de fraude intentará recuperarse y, en última instancia, determinar si existe una manera de recuperar los fondos robados mediante fraude. Si el fraude se detecta dentro de las 24 horas, existe un potencial mucho mayor de recuperación, dijo Edwards, pero no es una garantía ya que los pagos en tiempo real permiten a los delincuentes mover dinero tan pronto como se recibe. Para cuando se informa al banco, es posible que el dinero ya se haya ido.
Protección proactiva necesaria
Marcum recomienda a los clientes comerciales que tomen medidas proactivas para prevenir el fraude, incluyendo:
- Implemente sistemas como Pago positivo con verificación del nombre del beneficiario para agregar capas adicionales de protección para los pagos con cheques y ACH. El servicio permite que los pagos se completen solo si el monto y el destinatario han sido identificados de antemano o confirmados por usted.
- ACH o bloqueos de cheques en cuentas que las compañías no planean usar para transacciones.
- Separación de funciones para requerir dos aprobaciones en cualquier movimiento de dinero fuera del banco para minimizar el fraude interno.
- Conciliar cuentas diariamente en lugar de mensualmente. El fraude debe ser detectado e informado dentro de un período reducido de 24 horas si una empresa espera recuperar los fondos robados.
- Desarrolle un programa de capacitación para que sus empleados comprendan los tipos de fraude y cómo identificarlos.
El compromiso del correo electrónico empresarial (BEC) es una amenaza diaria
Las infracciones en los correos electrónicos comerciales siguen siendo problemáticas para las empresas. Los créditos ACH se identificaron en el Encuesta AFP ser el tipo de pago más vulnerable para el fraude BEC (47%), seguido de las transferencias electrónicas (39%) y los débitos ACH (20%).
La Avances en inteligencia artificial (IA) está haciendo que sea más difícil saber qué es falso versus real. "Solía ser que los correos electrónicos fraudulentos tenían errores tipográficos y ortográficos obvios e involucraban a un príncipe en un país extranjero", dijo Edwards. "Ahora, con las comunicaciones escritas de IA, es mucho más sofisticado, y las empresas están viendo comprometidos a sus proveedores y pagos ACH".
Y la IA se puede utilizar para intentos de estafa no solo por correo electrónico sino también para Fraude de voz falso profundo por teléfono y a través de chats en vivo.
"Con la IA, una persona puede hacer el trabajo de mil estafadores, por lo que la escalabilidad es exponencial. Están apuntando a personas abrumadas con sus actividades cotidianas y apresurándose a través de las cosas sin prestar atención".- Scott Edwards, director de administración de riesgo de fraude de BOK Financial
Ambos expertos coinciden en que invertir en la educación continua de los empleados es clave. "Capacite a los empleados sobre los tipos de fraude que existen y las cosas específicas que necesitan cambiar en su rutina", dijo Marcum. "Si un proveedor llama para cambiar dónde se envían los pagos, sus empleados deben saber cómo verificar ese tipo de solicitudes".
Consejos para proteger tu empresa
Marcum recomienda que las empresas tengan una variedad de controles manuales y del sistema para ayudar a frustrar a los estafadores.
- Use una forma alternativa de comunicación que no sea el correo electrónico, como una llamada telefónica, para verificar las transacciones de pago y compra por un monto en dólares preestablecido.
- Estandarice con sus clientes y socios comerciales cómo se comunicarán y validarán los cambios en la información de la cuenta y sepa cómo validan los suyos.
- Tenga cuidado con los cambios repentinos en las prácticas comerciales o la información de contacto; Tenga especial cuidado si el solicitante lo presiona para que actúe rápidamente.
- Tenga en cuenta que los estafadores actualmente están falsificando números de teléfono legítimos y parecen llamar desde instituciones financieras. Advierta a los empleados que permanezcan más atentos al no proporcionar su información bancaria confidencial o credenciales de inicio de sesión.
Si la administración de riesgo y fraude de BOK Financial recibe una alerta sobre un cliente comprometido, se comunicará con el cliente para obtener más detalles, pero BOK Financial nunca llamará ni enviará mensajes de texto preguntando sobre sus credenciales de inicio de sesión, ni le pedirá su contraseña o códigos de seguridad.
Aprenda más sobre Seguridad en línea de BOK Financial. Si sospecha que es víctima de fraude, comuníquese con su institución financiera de inmediato. Denuncie actividades sospechosas en cuentas relacionadas con BOK Financial a 844-517-3308. La Agencia de Ciberseguridad y Seguridad de la Infraestructura también mantiene una Lista actualizada de amenazas actuales.
. © 2024 BOKF, NA.