Tipo de estafa que consiste en suplantar la identidad de un proveedor, habitualmente mediante correo electrónico, con el fin de enviar facturas falsas o modificar el número de cuenta asociado a una factura. Se dirigen tanto a usuarios, empresas pequeñas o medianas como a grandes organizaciones y es que el alcance del timo puede variar: desde facturas falsas de pocos euros para material de oficina hasta facturas falsas de millones de euros para temas relacionados con producción, tecnología, equipos, etc.
Aumentan las probabilidades de ser víctimas de este tipo de fraude si no se revisan cuidadosamente los datos de la empresa que emite la factura y que constan en ella. Esta estafa puede recibirse mediante canales digitales como correo electrónico o mediante carta física en el buzón de la víctima.
Las excusas más usadas por los delincuentes son:
- Facturas falsas por productos o servicios que jamás se llegaron a comprar.
- Facturas falsas por productos comprados pero que nunca se entregaron.
- Facturas reales, pero con precios inflados o con más artículos o servicios de los comprados.
- Facturas reales duplicadas que ya se han pagado una vez.
Es importante darle a esta estafa la importancia que realmente tiene puesto que una pequeña factura falsa puede hacer que la víctima sufra una estafa mucho mayor en el futuro. Esto ocurre porque los delincuentes suelen enviar primero una factura con un importe muy pequeño para comprobar la capacidad de engañar a la organización o a la persona. Si la víctima paga, los delincuentes ya saben que esa empresa no cuenta con un nivel de concienciación en seguridad y que no revisa ni investiga sus facturas por lo que proceden a planificar un fraude mayor enviando facturas con importes cada vez más elevados.
Algunos ejemplos de grandes empresas que han sido víctimas de esta estafa son Facebook y Google con nada menos que 100 millones de dólares estafados durante dos años. Y es que pagaban las facturas que les llegaban sin investigar qué o a quién pagaban. El delincuente falsificó todo ese tiempo cartas, correos, sellos, contratos… y blanqueaba el dinero con cuentas en Estados Unidos.
El proceso de este fraude sin embargo es complejo y continuado. Primero, los atacantes investigan contratos, nombres de proveedores de la víctima para resultar creíbles. Luego, suplantan la identidad del proveedor elegido y envían las facturas falsas además de cartas y emails para ganar aún más credibilidad.
Por eso es vital prestar mucha atención y revisar cuidadosamente qué información de la posible víctima hay publicada en Internet, pues los delincuentes pueden usarla para perpetrar su estafa.
También se aprovechan de las prisas del día a día que suelen provocar decisiones rápidas y poco meditadas. Además, envían las facturas a una persona que tenga la capacidad de pagar y hacer trasferencias dentro de una organización.
Pueden falsificar la web del proveedor real o crear una dirección de correo similar para engañar a la víctima combinando esta estafa de facturas falsas con un ataque de tipo phishing.
También pueden simular facturas reales modificando el número de cuenta, pero manteniendo las fechas y números de facturas. También solicitan cantidades de dinero aceptables o comunes del proveedor que suplantan para evitar levantar sospechas.
Como puede apreciarse también en este tipo de estafa, los delincuentes no dudan en usar técnicas de ingeniería social para lograr sus objetivos.
