Actualment hi ha molta publicitat entorn de les noves convocatòries de les ajudes provinents dels fons europeus Next Generation. Una són les del programa Kit Digital que busquen la millora en la digitalització de les nostres empreses, i que curiosament, també pretenen millorar la ciberseguretat.
Doncs bé, els ciberdelinqüents aprofiten aquesta publicitat dels processos de licitació per demanar informació i atacar les empreses i administracions usurpant identitats.
Segons Europol, l'experiència recent de l'evolució del panorama criminal durant la pandèmia de COVID-19 suggereix que les ajudes Next Generation EU atrauran grups cibercriminals actius a la Unió Europea i de més enllà.
Per aquest motiu Europol ha activat l' operació Sentinel per prevenir delictes amb els fons “Next Generation”.
Els 19 Estats membres de la UE han unit les seves forces com a part de l'operació Sentinel per garantir que els fons de recuperació es destinin correctament a enfortir les nostres economies i la resiliència de les nostres comunitats, aquests són: Àustria, Bèlgica, Croàcia, Dinamarca , Estònia, Finlàndia, França, Grècia, Irlanda, Itàlia, Lituània, Malta, Països Baixos, Polònia, Portugal, Romania, Eslovènia, Espanya i Suècia.
Com funciona l'estafa Man in the middle?
Els experts l'han anomenat així perquè l'estafa consisteix a suplantar una de les dues parts que duen a terme una transacció econòmica derivada habitualment de la prestació d'un servei. Hi ha un emissor i un receptor, que es comuniquen a través d'un dispositiu tecnològic i que desconeixen que hi ha un tercer que està espiant i que finalment s'hi interposa. I com ho fa és la clau d'aquest delicte que té a l'anomenada “estafa al CEO” la seva variant més estesa, segons explica l'inspector en cap del Grup de Ciberdelinqüència de la Comissaria Provincial de Màlaga, Andrés Román, que sosté sens dubte que «és la principal estafa contra les empreses i els organismes públics».
Segons Andrés Román «no tenim una bona radiografia de la seva incidència», ja que les víctimes no sempre denuncien perquè pot afectar la seva «imatge i reputació».
Amb les dades recollides fins ara podem explicar les tècniques d'usurpació que han estat utilitzades.
El primer pas del ciberdelinqüent, després d'una recerca per Internet recopilant dades possibles víctimes, és monitoritzar converses entre la companyia i l'administració. Hi ha accés a fonts obertes de la Xarxa amb molta informació sobre els processos de licitació i adjudicació dels contractes públics en què es detallen quantitats econòmiques, noms d'empresa, vies de contacte i fins i tot noms del personal.
El segon pas, un cop triat l'objectiu, és entrar als seus sistemes per espiar les converses —habitualment— mantingudes a través de correus electrònics. Román explica que hi ha dues maneres: «Per infecció», amb la introducció d'un 'malware'; o «utilitzant la enginyeria social» per enganyar.
I el tercer pas, quan ja aconsegueixen monitoritzar les comunicacions i tenen coneixement de l'existència d'un pagament pendent, hi intervenen suplantant la identitat d'una de les parts. La forma més habitual és crear una adreça de correu electrònic molt similar al de la part que reclama l'abonament de la quantitat deguda i que únicament se sol diferenciar de l'original per una paraula. El ciberdelinqüent arriba a clonar la imatge corporativa de la companyia, així com les seves dades, però introdueix un compte corrent sota el domini perquè en facin la transferència. «Per evitar qualsevol sospita, utilitzen excuses com que el número que tenien era molt antic», assenyala el comandament policial, que explica que la segona modalitat és pràcticament igual, encara que tècnicament és una mica més complexa perquè l'estafador aconsegueix amagar la seva veritable adreça de correu electrònic amb una «tècnica d'ofuscació». En la tercera i última tipologia detectada, es fa amb el control absolut: té accés total al sistema, als comptes de correu i pot enviar comunicacions reals.
A l'enginyeria social el delinqüent es fa passar per algun funcionari per reclamar a l'empresa adjudicatària les factures pendents de pagar. Un cop les teniu a la vostra disposició, sabeu les quantitats que podeu estafar i inicieu el procés de suplantació.
Els processos de l'estafa poden variar i combinar-se, fins i tot arriben a fer trucades telefòniques per reforçar l'engany.
Andrés Román explica que ha investigat denúncies que pugen fins als 350.000 euros i recorda el cas concret d'un empresari que els ciberdelinqüents van arribar a enganyar en tres ocasions.
Com evitar l'estafa Man in the middle?
La millor mesura de protecció a part de verificar sempre els interlocutors és aplicar a cada transacció la doble autenticació. «Si ens criden de l'empresa o l'administració 'X' reclamant-nos un pagament pendent. No ingressar sense més ni més. Trucar per telèfon i confirmar la veracitat d'aquesta comunicació». Una gestió que no suposa cap esforç i que pot evitar milionaris maldecaps.
Veure nota de premsa d'Europol
