Download - 2004 - Port@l Consulting Group Fraude Informático F a u s t o F l o r e s M. [email protected]
2004 - Port@l Consulting Group
Fraude Informático
F a u s t o F l o r e s M.
www.grupoportal.com
2004 - Port@l Consulting Group
Definición de FRAUDEUn acto ilegal o un conjunto de actos ilícitos cometidos
por medios no físicos y mediante encubrimiento y astucia, para obtener dinero o propiedades, para evitar el pago del dinero o de las propiedades
perdidas o para obtener beneficios personales o ventajas empresariales.
2004 - Port@l Consulting Group
Importancia
Vulnerabilidad de:LA SOCIEDAD DE LA INFORMACION
Los negocios, las administraciones y la sociedad en general dependen en alto grado de la
eficiencia y seguridad de la moderna Tecnología de la Información.
2004 - Port@l Consulting Group
Cómo dependemos?• Transacciones monetarias • Comercio electrónico• Sistemas de control aéreo, marítimo y espacial• Sistemas automatizados de producción• Almacenamiento de datos confidenciales• Educación• Sistemas de supervisión medica
2004 - Port@l Consulting Group
Importancia del F.I.
Las redes informáticas internacionales han llegado a constituir los nervios de la economía, el sector
publico y de la sociedad.
Por lo tanto la seguridad de estos sistemas de computación y de comunicación y su protección contra el fraude informático es de importancia
esencial.
2004 - Port@l Consulting Group
En qué consiste el F.I.
La forma más común de fraude informático es la transferencia de fondos ilegítimos a una cuenta creada o a una cuenta habilitada a traves de una maniobra dolosa.
2004 - Port@l Consulting Group
Requiere el F.I. alta Tecnología?La mayoría de las veces NO
Uno de los primeros y más grandes fraudes informaticos que se cometieron en USA los llevó a cabo un programador que hizo que en su saldo de cuenta corriente desapareciera el signo menos.
2004 - Port@l Consulting Group
Quienes son los participantes del Fraude Informático ?
2004 - Port@l Consulting Group
Sujeto ActivoAntiguamente: Un sujeto de corta edad, muy
inteligente, muy instruido, muy educado y con muchos conocimientos de informática.
Actualmente: Es alguien que está cerca nuestro. Normalmente, quien nos va a defraudar por medios informáticos, es una persona que está en la empresa y que conoce los sistemas informáticos.
2004 - Port@l Consulting Group
Sujeto Pasivo
Bancos, compañías financieras, instituciones estatales, ejércitos, universidades, partidos políticos, colegios, empresas particulares, compañías de comunicación,
desarrolladores de software, entre otros.
2004 - Port@l Consulting Group
Características del F.I.• Es difícil de detectar y de reconocer. • Sucede por montos no demasiados grandes, pero
continuamente en el tiempo. • Se logra que poco a poco la cifra vaya creciendo. • Se ataca a la persona que tiene una fuente de
ingresos más o menos permanente. • La gran mayoría de los fraudes informáticos nunca
se denuncia.
2004 - Port@l Consulting Group
Ofensas Predominantes Las manipulaciones de facturas concernientes
a pagos de cuentas y salarios. Manipulación de balances de cuentas y hojas
de balances en bancos. Manipulaciones para incrementar los
inventarios. Compras en Línea (Tarj. Crédito)
2004 - Port@l Consulting Group
Según una publicación del FBI, solamente se descubren el 15 % de los delitos informáticos,
de los cuales sólo se denuncia el 14 % y se condena el 3 %.
2004 - Port@l Consulting Group
Modalidades de F.I.
Las mas utilizadas: Introducción de Datos Falsos (Nomina/Inventarios) Redondeo de Cuentas Bombas Lógicas Fraude con Tarjetas de Débito/Crédito Fraude con el uso de Líneas Telfónicas
2004 - Port@l Consulting Group
Introducción de Datos Falsos
Hubo un caso en el que un programador de una empresa insertó en la nomina varios registros de empleados ficticios, a los cuales hacia que se les pague el sueldo el cual se transferia a su cuenta bancaria personal. Tuvo el cuidado de modificar los programas de reportes de forma que el faltante se equiparaba con el valor a pagar por impuestos.
2004 - Port@l Consulting Group
Los directivos de la compañía Equity Fund dedicada a los seguros, archivaron en una computadora 56.000 pólizas de vida falsas con un valor de venta de treinta millones de dólares que representaban, al cierre de la cuenta, dos tercios del valor de venta del portafolios de la compañía.
2004 - Port@l Consulting Group
Redondeo de Cuentas
A los valores resultados de cálculos intermedios (cálculos parciales) ya sea de pago de sueldos o pago de servicios a terceros, son redondeados o disminuidos por una rutina de programa insertada clandestinamente por el perpetrador.
2004 - Port@l Consulting Group
Hubo un caso en el cual el jefe de informatica de una empresa con alrededor de 2.000 empleados modifico los programas de calculo de sueldos y sobresueldos de forma que del resultado parcial de cada operacion se restaban unos centavos los cuales eran transferidos a una cuenta temporal.
2004 - Port@l Consulting Group
Esto claro lo hizo con la ayuda del contador de la empresa (que ademas resulto ser su primo). Fue posible detectarlo debido a problemas personales que enfrentaron a los primos.
Lo que muestra que en la mayoria de los casos siempre hay más de un involucrado en el fraude.
2004 - Port@l Consulting Group
Bombas Lógicas
Son rutinas o fracciones de código insertado clandestinamente en los programas que manejan las operaciones de retiro o deposito de dinero en las cuentas de clientes de una institución financiera.
2004 - Port@l Consulting Group
Estas rutinas, llegada determinada fecha o cumplido cierto periodo de tiempo desde la ultima vez de su ejecucion, sustraen cantidades de dinero de cuentas de determinados clientes. Generalmente de aquellas cuentas que no se han movido durante algún tiempo.
2004 - Port@l Consulting Group
Fraude con Tarjetas de Crédito
Van desde el simple uso de tarjetas robadas y su manipulación con una computadora, hasta la fabricación independiente de copias de tarjetas.
2004 - Port@l Consulting Group
Los ofensores a menudo obtienen el código - PIN para usar las tarjetas mediante una llamada telefónica engañosa, mediante preparar y manipular el teclado del cajero, a través de usar un teclado falso o mediante interferir las líneas de telecomunicación de datos.
2004 - Port@l Consulting Group
Un caso Húngaro fue particularmente resaltable debido al alto monto del daño. En un mes, las
cantidades máximas respectivas de aproximadamente 250 USD fueron retiradas con la ayuda de la copia de una simple tarjeta
en 1,583 casos.
2004 - Port@l Consulting Group
Fraude con Líneas Telefónicas
Funciona llamando a números telefónicos sin cargo (1800 en Ecuador) y manipulando la línea con la ayuda de computadoras y software o aparatos que incluso son de fabricación doméstica.
2004 - Port@l Consulting Group
Se llama a un operador de una compañía de teléfonos de USA. Luego la conversación es finalizada con la ayuda de un tono de ruptura y la línea libre, en ese instante es tomada con la ayuda de un tono de agarre (o tono de secuestro). Después de ingresar ciertos impulsos de control, es posible marcar a cualquier número en USA.
2004 - Port@l Consulting Group
Fraude con Código de Barras• Un CB es parte de un sistema informatico
(puntos de venta, inventarios)
• TODO sistema informatico se puede hackear/crackear.
De lo que deducimos que: "Un CB se puede hackear/crackear"
2004 - Port@l Consulting Group
• Anotar el código de un producto similar al que nos vamos a llevar y de precio inferior.
• Imprimir en casa sobre una etiqueta adesiva el cb correspondiente.
• Pegar dicha etiqueta sobre la original y pasar por caja.
2004 - Port@l Consulting Group
Condiciones para el F.I.• Sistemas obsoletos.• Sistemas sin seguridades de acceso.• Sistemas con seguridades de acceso inadecuadas.• Falta de controles (manuales/automatizados).• Concentración de las funciones informaticas en una
persona.• Falta de una supervisión adecuada.• Falta de políticas de administración y uso de
usuarios y passwords.
2004 - Port@l Consulting Group
Falta de protección de los sistemas
Esto se debe a que en la relación de costos y beneficios, uno de los problemas que tiene la seguridad informática es que es cara (?), altera totalmente la ecuación.
Cuando tengo que proteger mi sistema, es carísimo y si se decide no gastar en esto, es el primer defecto.