jueves, 28 de abril de 2011

TECNICAS FRAUDE


Técnicas de fraude más usuales:

- Por un lado están los malware, virus, spyware (programas espía), gusanos o troyanos, diseñados específicamente para realizar tareas maliciosas, incluso para hacer uso de las vulnerabilidades del software y propagarse, instalarse, falsear comportamientos y direcciones, etc.
- En otro lado se encuentra la Ingeniería Social como la mejor herramienta, basada en el engaño, para llevar a cabo toda clase de estafas, fraudes y timos sobre los usuarios más confiados.
- Por último el correo masivo (Spam), como el mejor y más barato mecanismo de difusión.
- Si se unen estas 3 herramientas para aplicarlas en delitos de tipo económico, financiero, bancario, de pago, etc. acabaríamos concluyendo que existe un alto riesgo asociado a este tipo de operaciones a través de Internet cuando no se implantan las medidas básicas de autoprotección.
Técnicas:

Existen múltiples técnicas para perpetrar fraudes económicos a través de Internet, pero sin duda, una de las que está obteniendo importantes índices de crecimiento en la red, es la suplantación de páginas y/o sitios de Internet, mas conocida como "phishing", que permite al estafador, mediante el engaño, conocer los datos privados y personales que usted utiliza para la realización de operaciones económicas.
Aunque no es el único método. De hecho cualquier malware que instale un “Keylogger” (captador de pulsaciones del teclado) también puede ser usado para recoger información suficiente para poder operar sobre la cuenta del usuario afectado, si bien La Caja, a través de la implantación del “teclado virtual”, ha obviado tal riesgo.
“Phishing” e Ingeniería Social:

Uno de los principios básicos del “phishing” es la utilización de mensajes de correo electrónico con una fuerte carga de "Ingeniería Social" (técnicas que se aprovechan de las debilidades de las personas) y sitios web´s fraudulentos. En tales mensajes, los estafadores intentarán el engaño, haciendo pensar al receptor que el mensaje realmente procede de la entidad u organización en la que confía, aprovechándose por un lado, de dicha confianza y por otro en su desconocimiento tanto técnico como de las vulnerabilidades de los programas para la navegación a través de Internet.

Los mensajes enviados utilizarán todo tipo de ingeniosos argumentos relacionados con la seguridad de la entidad, para justificar la necesidad de introducir sus datos de acceso. Un ejemplo de los más comunes pueden ser los siguientes:

Problemas de carácter técnico, detecciones de fraude que demandan un incremento del nivel de seguridad, cambios en la política de seguridad de la entidad, etc.

Además, intentarán forzar al usuario a tomar una decisión casi de forma inmediata con amenazas de que si no realiza los cambios solicitados, en pocas horas o días su acceso quedará deshabilitado.
Mecanismos de fraude:

Por el momento los dos mecanismos más habituales para la obtención de los datos personales de acceso, son el correo electrónico y la infección con virus de tipo gusano o troyano con funciones para la captura de las claves.
Correo electrónico:

Sin duda el correo electrónico es actualmente la técnica más utilizada en este tipo de fraude, tal vez porque resulte el más efectivo a corto plazo para el atacante.
Junto a la Ingeniería Social, el Spam es el otro gran aliado para el “phishing” debido a lo sencillo y barato que resulta para llegar hasta millones de usuarios con mensajes similares al siguiente:

Estimado cliente;
El departamento de seguridad del banco ha detectado en las últimas fechas diversos tipos de técnicas fraudulentas en Internet por medio de las cuales es posible que las claves de acceso de algunos de nuestros clientes hayan sido capturadas para, haciendo un uso ilegal de las mismas, acceder a su cuenta y operar en ella como si fuese usted mismo quien realice las operaciones. 
Debido a ello, el banco ha decidido renovar las claves de acceso de todos los clientes como medida de protección que garantice la seguridad y evite el fraude. El único lugar donde podrá realizar el cambio de claves se encuentra en el siguiente enlace: https://xxxxx.xx.xxxxx.. donde quedará disponible hasta el próximo día XX-XX-XXXX momento a partir del cual, se procederá a la cancelación de los accesos de todos aquellos usuarios que no hayan realizado el cambio de sus claves. 
Agradecemos su colaboración y la confianza depositada en nuestra entidad. 
Departamento de seguridad
BANCO DE INTERNET.

En estos mensajes, la dirección del remitente estará falsificada siendo muy parecida o incluso podrá coincidir con alguna cuenta legítima de la entidad en cuestión. El objetivo es, que alguno de los numerosos receptores de ese correo sea cliente de esa entidad y pulse sobre el enlace propuesto para realizar el cambio o confirmación de sus claves, o introduzca cualquier otro dato personal.
Obviamente, la página enlazada también será falsa y estará controlada por los estafadores quienes habrán cuidado hasta el más mínimo detalle en replicar con toda fidelidad la imagen, logotipos, colores y formatos de las páginas legítimas de la entidad. En la página, se pedirán todos los datos necesarios para poder realizar operaciones en las cuentas de la entidad, es decir; las contraseñas secretas de seguridad para el acceso y operatividad de los datos del cliente en la Banca por Internet.
Una vez que sean confirmados los cambios, los estafadores tendrán a su disposición toda la información necesaria para acceder a las cuentas de aquellos usuarios que hayan caído en el engaño.

PROCEDIMIENTOS PARA DETECTAR FRAUDE.


Bueno como auditores lo primero que se haría sería la detección del fraude para así saber cómo poder afrontarlo, se debe tener en cuenta que no existen controles que eviten completamente el fraude. Tomando esto como punto de partida nosotros como auditores usaríamos los siguientes procedimientos..
-          Detectar riesgos mediante evaluaciones periódicas, calculando relación costo beneficio. No afectando los intereses de la organización..
-          Evaluar los riesgos de fraude, implementando los procesos, procedimientos y controles necesarios para mitigar los riesgos y reducir las oportunidades de fraude..
Cuando se hace la evaluación del riesgo esto nos indica la posible existencia de fraude, como auditores debemos considerar el efecto material sobre los E/F, si es así debemos modificar los procedimientos y controles o implementar nuevos controles todo esto según el criterio de cada auditor. Midiendo la probabilidad de ocurrencia de que dicho fraude se pueda producir.
Algunos procedimientos usados son:

Arqueos de caja
Conciliaciones bancarias
Realización de inventarios
Comprobación de saldos

Otros procedimientos serian el de Verificación, inspección, cálculos, confirmación con clientes para las cuentas por cobrar. 

OTRAS TECNICAS DE FRAUDE

  • a) Manipulación de transacciones;
  • b) Técnica de SALAMI;
  • c) Técnica del caballo de Troya
  • d) Las bombas lógicas;
  • e) Juego de la Pizza;
  • f) Ingenieria social;
  • g) Trampas- Puerta;
  • h) Superzaping;
  • i) Evasión astuta;
  • j) Recolección de basura;
  • k) Ir a cuestas para tener acceso no autorizado;
  • l) Puertas levadizas;
  • m) Técnica del taladro;
  • n) Intercepción de líneas de comunicación.