Fraude de pagamento push autorizada

É sabido que o crime de APP é agora a fraude escolhida globalmente, assim como na Ebury, esta é, sem surpresa, também a tipologia de fraude mais comum. Em baixo sinalizamos os alertas a serem observados:

• Exemplo de um fornecedor existente que altera inesperadamente os seus detalhes de pagamento pouco antes do vencimento de uma fatura. Esta deverá ser uma atividade considerada estranha, sobretudo:

– Se a nova conta bancária estiver localizada num país diferente do fornecedor.

– Se a nova conta bancária for mantida num nome diferente ou for uma conta pessoal.

– Se o fornecedor indicar um motivo estranho para a alteração dos dados bancários, como “a nossa conta bancária habitual está sob auditoria”.

Outros exemplos:

• Um fornecedor existente expressa urgência indevida para enviar um pagamento ou existem erros de ortografia ou uma mudança de tom nos seus e-mails;
• Um fornecedor existente começa a enviar um e-mail para si de um endereço de e-mail diferente ou ligeiramente diferente (ou seja, @fornecedor.com vs @fornecedor.com);
• Um novo fornecedor tem um site recém-criado, que está em manutenção ou em construção, ou tem muito pouca presença na internet quando pesquisado online:
• Um novo fornecedor tem notícias negativas quando pesquisado on-line, como avaliações de ‘fraude’;

Roubo de dados

Os criminosos estão sempre à procura de métodos lucrativos para roubar empresas, como roubo e venda de dados da empresa.

Poucas empresas podem estar a salvo dessa ameaça. O risco de perda de dados pode ser causado por descuido, negligência ou ataque mal-intencionado, especialmente com tantos departamentos de TI permitindo que a equipe trabalhe em casa. As violações cibernéticas podem ser extremamente caras; além do custo, podem levar a um sério impacto na reputação e perda de confiança do cliente, bem como, é claro, perda de PI, dados pessoais e fraudes.

Como é que as organizações se podem proteger contra essa ameaça?

• As políticas de acesso a dados devem ser integradas nos processos de integração, de segurança e offboarding. Limites de acesso aos dados também devem ser estabelecidos para que os funcionários possam aceder apenas aos dados necessários para a sua função;
• Deve ser dada formação para promover a sensibilização para os métodos de recrutamento interno, como o contacto via LinkedIn ou redes sociais;
• Os processos de verificação devem ser usados ​​para combater os riscos representados pela “colocação organizada” de candidatos para agir como insiders maliciosos;
• Canais de denúncia anônima devem ser estabelecidos para que os funcionários relatem incidentes de comportamento suspeito;
• Os processos de offboarding devem incluir devolução de equipamentos, desprovisionamento de acesso e análise de atividade anterior onde houver preocupações;
• A privacidade desde a concepção deve ser implementada para que as Avaliações de Impacto de Proteção de Dados (DPIA) e Avaliações de Impacto de Privacidade (PIA) se tornem atividades rotineiras;
• O sistema e a análise podem ser implementados e configurados para detectar atividades suspeitas, como transferências de dados, acesso a arquivos fora do horário comercial ou tentativas de renomear arquivos.

Se notar algum atividade suspeita na sua conta ou se tiver sido vítima de fraude, envie por favor um e-mail para [email protected].