Hay pocos casos de víctimas de pishing. O la técnica es muuuuy elaborada o son muy tontos

#3 Solo del 3%

Entiendo que la cuenta corriente donde han abonado es de algun pobre desgraciado insolvente que habrá sacado el dinero del banco a cambio de una comisión.

Si pagasen bien a los currantes del Imi ese de marras lo mismo se lo habrían ahorrado, no?

#3 Asignatura pendiente: protocolos para el cambio de datos de pago a los proveedores.

#3 Y una empanada de puta madre......

#5 No te extrañe que tengan un cómplice dentro. Porque a estas alturas me suena a excusa que no comprobasen.

A ver si lo han enviado a San Chi Chon.

#3 O una implicación brutal. No lo parece.

#5 La duda que tengo es si los suplantadores de SIA contactaron con el IMI desde una dirección falsa o si les habían robado las credenciales a algún empleado de SIA y la dirección del remitente era por tanto legítima.

En cualquier caso, indiscutible cagada de procedimientos.

Cuando en la noticia se dice que no se puede hacer nada porque el dinero ya no está en la cuenta bancaria, digo yo que esa cuenta estará a nombre de alguien, que habrá recibido y retirado los fondos.

#15 sí, alguien al que capta la red "trabaje desde casa gestionando pagos legalmente y gane 100€ a la hora"

Funcionarios rascándosela... nada nuevo bajo el sol.

¿Es posible que lo que llaman estafa al final sea un amaño?

Porque tal como están las cosas a mí no me extrañaría nada que los estafadores al final terminen siendo de dentro.

Edit: lo que indica #16.

Con funcionarios y sus "cursos de reciclaje" hemos topado.

#15 Hay muchas opciones si lo hacen bien. Puede ser una cuenta creada usando suplantación de identidad previo, "robo" de datos de un tercero, o una cuenta a la que han accedido también mediante alguna técnica de phishing, por un troyano de robo de credenciales, etc... y que no tenía ni un pavo y la han aprovechado para otros ataques.
Y, por último, una más habitual de lo que parece y que ya han mencionado aquí, la de captación de pobres intermediarios mediante engaños, que se llevan una comisión por mover el dinero sin saber en el agujero en el que se están metiendo.

Me gustaría saber como se creyeron el cambio de cuenta cuando para cualquier tontería te exigen un montón de papeles entre ellos un documento firmado del banco conforme has cambiado de cuenta y eso enviado con tu certificado digital.

#6 Lo que se dice cooperador necesario, sí

"el IMI tiene "un sistema de seguridad robusto" y "unos protocolos de ciberseguridad muy claros"".... dán mucha confianza y seguridad esos servicios informáticos, se les ve muy profesionales...

#2

#1 bueno, es más fácil que te estafen cuando el dinero no es tuyo, y al final era un caso sencillo: para un pago habitual se solicitó un cambio del número de cuenta, si la identidad ha sido suplantada no es tan escandaloso, es un pishing sencillo y efectivo

#10 son funcionarios…

#2 Habrá que ver al instituto municipal de informática del ayto de Barcelona...

Es una estafa de lo más burdo, pero no pasa nada, solo era dinero público.

"Estafan" guiño guiño

#26 pero para eso no están las firmas digitales y certificados electrónicos?

#31 si los usas si, pero si Antonio el de contabilidad, con el que llevas tratando toda la vida, te manda un correo y te pide que cambies el número de cuenta ¿Para que os vais a molestar en chorradas? Si es Antonio! De Antonio te puedes fiar!

#14 Pero es chocante, que yo para poder cobrar una factura de 200€ tengo que presentarla a Intervención, debe figurar el número de cuenta y además debo aportar (yo mismo como proveedor) el certificado bancario.

Si cambio de número de cuenta, debo emitir las facturas reflejando ese número de cuenta y además, aportar el certificado, todo esto yo directamente, no admitiéndose -como es lógico- un email, llamada, whatsapp, etc.

Pero para abonar 350.000€ se la pueden colar??

#1 #26
por lo que dice la noticia, también falsificaron el certificado bancario.
De todas formas, creo que ha de ser complicado no encontrar a los culpables. El dinero fua a una cuenta bancaria, y para sacarlo, ha tenido que dejar rastro, en forma de trasnferencia bancaria, o si se ha retirado en metálico, alguien ha necesitado un DNI y pasar por delantes de las cámaras de videovigilancia

#16 logico, fuera de catalunya hay otro internet

#22 Pues presentando un documento idéntico al firmado por el banco.
¿Acaso crees que son muy difíciles de falsifícar? Aunque lleve un matasellos y una validación mecanica, eso no requiere de demasiados medios para duplicarlo. Lo presentas por el registro ordinario de toda la vida, con firma manuscrita y ya está.

Que susto, leí fisting !

Colau te la han colao, JAJAJAJAJA. AGBAR.

#34 transferencia por western union y palante

Es que hay cosas que deberían ser obligatorias en el año 2022: dmarc, dkim y spf: con esto te quitas el 99,99% de phishing. Vale que negocios pequeños pues no sepan / puedan acceder a esos recursos, bueno, puede ser. Pero empresas grandes como SIA deberían tenerlo implantando como emisores y organismos públicos como el ayto. deberían contar con arquitectura que detecte la implantación del emisor del correo electrónico de dichas técnicas, para saber si el correo es fidedigno (realmente del emisor) o es falso. Esos 300k que han palmado da para hacer una ayuda a nivel nacional para pymes...

#38 si, estará preocupada.
Ya no duerme hoy...

#38 venia a decir lo mismoo! jaja te merecees todos mis positivooos

#23 Hola, soy un prícipe nigeriano, por un error de mis subordinados ha enviado incorrectamente una transferencia a su cuenta. Por favor, envíe el dinero a esta otra cuenta y, a cambio, recibirá una pequeña gratificación de 10.000 €.
En caso contrario enviaré a unos amigos colombianos a que le hagan la corbata de forma adecuada con el nudo Windsor.

Ayuntamiento del segundo municipio mas importante de España y que gestiona miles de millones de euros al año.
Es para temblar y cuestionar el nivel del personal que tienen trabajando ahí.

Ahí alguien de la empresa o del ayuntamiento es complice.. porque tener detalle de las facturas con todos los numeros de orden, los conceptos y el desglosado nadie exterior puede averiguarlo.

En estos casos para mí está muy claro quiénes son los responsables por orden:

- primero los estafadores, directamente
- segundo el banco receptor de la transferencia, indirectamente

El banco receptor está aceptando transferencias de varios miles de euros con un destinatario que no se corresponde ni de lejos con el titular de la cuenta. Ese banco está fallando en su control del blanqueo de capitales, están incumpliendo la ley y por ello deberían de hacerse responsables de estos delitos en caso de que no se encuentre a los delincuentes.

#34 Suelen usar mulas, pringaos a los que les Dan una comisión por recibir dinero en su cuenta y hacer una transferencia. A esos les cae algo, pero tampoco mucho porque ellos no saben de donde viene ni a dónde va y se quedan con poco.

#43 Pues enhorabuena, un castellano perfecto.

#4 Y que tiene que ver el ayuntamiento de Barcelona con el 3%?? al menos si vas a poner chorradas ponlas donde tocan....

#39 pero con western union, no se deja rastro?
quiero decir, supongo que no puedes acercarte a una oficina, enseñar un código escrito en un papel, y que te llenen varias maletas rellenas de fajos de dinero sin pedirte, al menos, un DNI (o cualquier otra identificación...) (aparte de que supongo que has de reservar estas disposiciones de efectivo con antelación, para que envíen un furgón con dinero a la oficina...)

#34 y, con mulas, de todas formas debería quedar el rastro igual, no?

#45 normalmente esa información la puedes sacar del perfil del contratante... El concepto suele ser el nombre del servicio y número de expediente, el periodo de facturación, importe, CIF, razón social,... Todo eso está publicado.

#4 Mejor haberlos gastado en una oficina del español.

#34 usan dnis robados. El pufo se lo dejan a otro

#15 si, alguien con DNI robado

#5 #10 Una de las empresas privadas más grande de Catalunya fue estafada por una secretaria de otra empresa que la echaban a la calle, como entre secretarias hay confianza consiguió que cambiaran el número de cuenta para el pago de unas facturas sin que nadie hiciera comprobaciones.... la jugada le salió redonda a la secretaria, puesto que como la cantidad solo era de unos miles de euros las dos empresas prefirieron no denunciar y asumir la perdida antes que exponer su error en un juzgado.

#16 Un político catalán del tipo PP o VOX o ciudadanos o de los de la horda roja y separatista ?.

#35

#33 Por lo que veo el IMI es un Organismo Autónomo. En la escala de organizaciones públicas los Organismos Autónomos tienen menos controles (internos y externos) que, por ejemplo, un Ayuntamiento o Consejería . Hay organizaciones con todavía menos controles, como las Agencias.

#46 No es un tema sencillo, sin ver documentos, soy incapaz de atribuir correctamente las responsabilidades y en lo del banco creo que aciertas, si para abrir una cuenta te piden documentos y son exigentes, no debiera poder existir una cuenta a nombre de la empresa acreedora que no fuese de tal empresa.

#7 ¿cual crees que es el salario de los que han aprobado esa transacción?

#59 el problema es que las cuentas no se abren a nombre de la empresa sino de un particular, de una mula que recibe el dinero y luego lo transfiere a otra cuenta o lo saca en efectivo del cajero

Particular que suele ser una persona con pocos recursos a la que se le paga un porcentaje por mover el dinero.

Lo que no puede ser es que a cualquiera, para abrir una cuenta y cobrar una nómina de mil euros, se le pida un justificante de ingresos y los muleros reciban miles, cientos de miles de euros y no se les bloquee automáticamente la cuenta hasta que demuestren que ese dinero proviene de fuentes lícitas.

A ver, los del DNI y la cuenta bancaria. Conseguir un DNI de alguien es relativamente fácil, que ese alguien se parezca minimamente a el que vaya a abrir la cuenta es suficiente para hacerlo.

Como si lo miraran mucho, por ejemplo yo llegado a abrir en una sucursal en una hora mas de 20 cuentas con tarjeta de débito asociada para un grupo de estudiantes y te aseguro que no miraban uno por uno; podía haber colado un DNI o pasaporte a nombre de Shin Chan o de Elena Nito Del Bosque y la foto de Ronaldo o Shakira que hubiera colado.

Es todo lo que necesitas y si me buscas encontraras a Perico el de los palotes.

#52 Bueno, todos sabemos que si esto pasa en un ayto del PP no se dejaría de hablar de sobres y de buenos gestores.
Esto es en uno ayto del cambio, asi que no debemos malpensar

#63 No es que no debamos mal pensar, es que quizá ha ocurrido y se ha tapado.

#56 Uno de los del partido de la alcaldesa?
No, eso no posible es.

#3 si os contara la de cosas que les pasan...

#60 depende, si es un C2 o un A2...

#55 había una empresa rumana que vivía de mandar facturas falsas a google, le duró 4 años hasta que acabaron en talego

#32 doy fe, hace poco me lo hicieron bueno a los gilipollas de la empresa en la que estaba, yo andaba de vacaciones y le mandaron un mail diciéndole que necesitaba cambiar el número de cuenta

Y van y le dicen que OK, todo bien, por suerte me puso en copia de la respuesta y les llame la atención

Pero si no colaba perfectamente

#2 le dijeron que clicara en el lazo o le quitaban el carnet de true catalan, y está gente solo baja la cerviz y obedece cuando le dicen eso

#1 ¿Pocos? Pues 2 millones sacaron de la emt en Valencia.

Lo difícil es saber quién tiene acceso a la cuenta bancaria. A partir de ahí, alguno pica seguro

#2 a lo mejor su personal esta formado por "saber wordperfect..."

#1 en mi empresa hacemos, a parte de mucha formación obligatoria, correos de suplantación falsos y, en algunos casos, nos los curramos tanto que es bastante difícil de detectar.
Eso si, el que clica y palma, a volver a hacer la formación.
Luego también el sistema te alerta (mete una cabecera en el correo) de que es un mail externo, para que tengas mas cuidado.

#36 ¿Y no hablas directamente con el gestor, representante o contacto de esa empresa? Se me hace raro, o en mi curro nos pasamos de seguros, o aquí la peña le llega un mail diciendo que han cambiado de cuenta y la cambian sin preguntar.
Demasiados errores y muy poco control interno, me parece a mi, para que pase esto

Algunas veces me sorprende tanto que lo público funcione tan absurdamente mal, o que tenga unos sistemas de control tan básicos....
Pero bueno, si se la colaron a Facebook de una forma mucho mas tonta, tampoco me extraña que a un ayuntamiento se la cuelen

#10 Cambiar una cuenta que recibe cientos de miles de euros sin hacer las comprobaciones de rigor, tiene delito.
Tardar 3 meses en denunciar no recibir pagos por valor de cientos de miles de euros, tiene delito.
Que el banco permita movimientos de cientos de miles de euros en una cuenta que no tiene responsables detrás, cuando al resto de los mortales nos vuelven locos a papeleos para transferir 4 duros, tiene delito.
Que a estas alturas existan cuentas bancarias sin un resposable/DNI detrás, cuando con las leyes y normativa KYC/EDD para evitar el terrorismo, blanqueo y el lavado de dinero es algo prohibido, ES DELITO: www.bde.es/bde/es/secciones/normativas/Regulacion_de_En/Estatal/Blanqu

#68 Si es que se las piensan todas...
www.20minutos.es/gonzoo/noticia/joven-mallorca-estafa-330000-euros-ama

#2 Tengamos en cuenta aquí, que los RRHH del Instituto Municipal de Informatica, serán de económicas.... muy informáticos dudo de que sean.. aúnque sí, trabajan para un instituto que se dedica a la informática

#50 Te piden DNI y es un máximo anual de 3000€, creo. Por eso hacen el "pitufeo", dividir el envío en muchas partes pequeñas para saltarselo.
Tienes razón.

#10 175.000 en un cliente en tres transacciones, dos empresas internacionales, una muy grande, dos departamentos financieros y contabilidad.
Nadie, en tres cambios de cuenta, pidió confirmación por una vía diferente al correo electrónico.
Es más fácil de lo que parece.
El truco es #31

La administración necesita introducir perfiles técnicos en los altos cargos con una urgencia desmesurada.

#24 El ayuntamiento se ha defendido diciendo que el IMI tiene "un sistema de seguridad robusto" y "unos protocolos de ciberseguridad muy claros" pero que "desgraciadamente los ataques informáticos son cada vez más comunes".

encima de ineptos se la suda

#53 efectivamente, identidades robadas (que se pueden adquirir fácilmente), y luego transferencias mil a un país donde sacan la pasta sin problema o a un exchange, cambio a criptos y retirada en otra cartera a través de lavanderías.

#1 O alguien de ahí dentro está en el ajo.

Teniendo en cuenta que las personas jurídicas tiene la obligación de relacionarse con la administración a través de medios electrónicos, me parece que han falsificado algo más que un certificado de banco, o no han registrado la petición por medios electrónicos como obliga la ley.

#67 No recuerdo ya las escalas del ayun pero los que aprueban este tipo de transacciones son si o si funcionarios y con sueldos por encima de los 40-50mil eurbruto/año. Eso, en España, no es estar mal pagado.

Lo que si es habitual es que haya un externo, tampoco mal pagado en el sentido estricto, haciendo las tareas y que el funcionario se limite a dar el OK/firmas/certificar y que se hace un poco a ciegas firmando/aprobando lo que te presenta el externo.

Este problema en sí no me parece para nada de salarios y si de protocolos, formación y coordinación y para todo esto los salarios del IMI que conozco son mas que suficientes.

#32 Pues está claro que si esto no pasa todos los días es porque la mayoría de administrativos no trabajan así. Para pagos se pide un certificado del banco de que la cuenta es de esa sociedad, que viene firmado. Aquí se ve que lo pidieron per, pero no comprobaron la firma. No es sólo por los "ciberdelincuentes" actuales, también pasaba antes cuando uno de los socios de la empresa daba su cuenta personal, engañando al resto de socios.

#39 La administración no paga por Western Union ni por cuentas fuera de la UE. Antes de hacer eso ha tenido que pasar por una cuenta trazable.

#84 A2 (o más) seguro, of course.

#40 Que mejor que hablar sin saber como buen boca chancla en vez de usar el comando dig.

#86 que si, que lo ingresan en una cuenta trazable y de ahí lo mueven y adiós muy buenas.