O Incibe informa dunha campaña de phishing para suplantar a entidades públicas utilizando datos da Plataforma de Contratación do Sector Público.
Os correos electrónicos simulan vir dunha entidade pública coa cal a empresa destinataria ten algún contrato, e poden utilizar información obtida nesa plataforma (número de expediente, nome do contrato) dando credibilidade á solicitude de remisión de facturas para, supostamente, proceder ó seu aboamento.
Se se envía algunha factura como resposta a estas peticións, ademais da fuga de información sensible, o propio documento pode ser modificado para que a administración debedora reciba unha factura fraudulenta que só se diferencia da lexítima no número de conta, que pasa a se-la dos cibercriminais. Se na administración afectada non se detecta o engano, o pagamento polos servicios ou productos irá á conta fraudulenta.
Ademais dos controis que se implantan nas administracións públicas para evitar este tipo de estafas, as persoas destinatarias destas mensaxes poden efectuar unha comprobación básica sobre o propio correo: a dirección do remitente non se corresponderá co dominio corporativo do organismo que está solicitando a factura. En xeral, pero moito máis en caso de ser detectado algún indicio sospeitoso, antes de enviar o que se solicita a recomendación é contactar por outro medio co organismo solicitante para verificar a lexitimidade da mensaxe. Ademais, se a empresa dispón de persoal dedicado á Seguridade da Información, pasaráselle aviso para que fagan as investigacións oportunas.
Este intento de estafa pode afectar empresas de todos os tamaños e sectores, mesmo a autónomos, que presten servizo a algunha administración pública. Por outra parte, este modo de operar por parte dos estafadores tamén pode levar a que sexan empresas privadas as que reciban facturas de provedores modificadas de maneira análoga. A recomendación imprescindible en ámbolos casos é dispoñer dun protocolo estricto para verificar todos os datos das comunicacións implicadas nos procesos de facturación e pagamentos, e mesmo establecer canles de comprobación alternativos ao correo electrónico.
No portal do Incibe ofrécense consellos detallados sobre esta estafa e os pasos recomendados en caso de detectala.
