Embed Size (px)
Citation preview
Maneras de ayudar a su empresa a mitigar el fraude en el entorno de hoy
Speakers
Milton Santiago, Bank of America Merrill Lynch – Managing Director, Global eChannel Executive
Darío Amenábar Zegers, Cencosud S.A. Gerente Regional de Finanzas Finanzas Corporativas
Milton Santiago Bank of America Merrill Lynch
Milton Santiago Managing Director, Global eChannel Executive
Establishes global strategy for client-facing channels, including primary Treasury Management portal and mobile banking, for business banking, commercial, large corporate, multinationals and financial institution clients
Chairman of the CashPro Advisory Board which includes a select group of Bank of America clients. He also represents the Bank as a founding member of the Trusted Electronic Communications Forum (TECF). Milton is a frequent speaker at the Association for Financial Professionals conference, EuroFinance and the Treasury Management Association of Chicago, “Windy City Summit,” which are leading industry user conferences.
More than 27 years of experience
Bachelor of Science degree in Computer Information Systems
3
Dario Amenabar Regional Finance Manager, Cencosud SA
Dario Amenabar Regional Finance Manager
Member of the Cencosud corporate finance team since 2010, where he has led Cencosud’s Capital Market transactions, including the 1.25 BUSD capital increase with NYSE listing in 2012, the 1.6 BUSD FO in 2013 and both the 750 MMUD and the 1.2 BUSD 10Yr 144A / RegS international bonds in 2011 and 2012 among other transactions.
More than 16 years of experience in multiple roles. Prior joining Cencosud, he worked for Walmart, Masisa, Sempra Energy, Duke Energy and AES, in Chile, Argentina and the U.S.A.
MBA University of Chicago, Industrial Engineer Pontificia Universidad Catolica de Chile.
4
Agenda
Campo de Fraude
Phishing & Spoofing, Malware
Como Responder a Eventos de Fraude
Mejores Practicas para Prevenir el Fraude
Practicas implemetados Por Dario Amenabar, Regional CFO, Cencosud SA
Global Fraud Landscape Fraud has many faces
Fraud ch
arity
frau
d identity theft
mail fraud
mon
ey o
rder
s
PayP
al sc
ams
phone fraud - social engineering
real
est
ate
frau
d
coun
terfe
it an
d re
mot
e de
posit
money orders – counterfeit and remote deposit
reverse mortgage scams
telemarketing fraud
ponzi schemes pyramid
schemes
viru
ses
troj
ans
onlin
e
mobile Keyloggers
health care and health insurance fraud AT
M
ATM
/ Ca
rd sk
imm
ing
Phone fraud - social engineering
cash checking
fraud
counterfeit cashier checks
dating fraud
funeral and cemetery fraud
email phishing em
ploy
men
t sca
ms
Internet investment scams wire and ACH fraud Internet auction fraud
Internet ticket fraud
mail fraud
real estate fraud
6
7
Usuario dirigido & Malware instalado
Phishing y SMishing: Archivos infectados /enlaces maliciosos
enlaces maliciosos enviados a través de correo electrónico o mensaje SMS
Drive by Downloads: Al hacer clic en un documento, un anuncio o
video, publicado en la página web legítima inicia descarga de malware
El uso de una unidad USB infectada
Ataque es lanzado y fraude cometido: Robo de credenciales y / o inyección HTML
La manipulación de transacciones
Client Attack - Malware Threats
Phishing Email
8
Parece una correspondencia legítima de la compañía
Redacción no tiene el nivel de refinamiento que se espera de un mensaje de la auténtica empresa
Tiene un captador de atención – alto monto en dólares de una cuenta de celular en este ejemplo
Enlaces incrustados activan descargar Malware en tu dispositivo
Este metodo es efectivo aunque no tengan una relacion con la empresa
CallMe.org | Support | myCallMe Account
Your wireless bill is ready to view
Dear Customer,
Your monthly wireless bill for you account is now available online.
Total Balance Due: $1720.40
Log in to myCallMe to view your bill and make a payment. Or register now to manage your account online. By dialing *PAY (*729) from your wireless phone, you can check your balance or make a payment – it’s free.
Smartphone users: download the free app to manage your account anywhere, anytime.
Thank you CallMe Online Services callme.org
Contact Us CallMe Support – quick & easy support is available 24/7.
Get Piece of Mind
Set up secure AutoPay from your checking account.
Learn more Go Paperless
Save time, money and the environment.
Learn more Online Deals!
Shop the Best Deals in your area for Phone, TV, Internet and Wireless.
Learn more
Device Tutorials Information specific about your phone
Smart Controls Block calls, set mobile purchase limits, manage usage, and more
Payment Arrangements Explore your options for arranging a payment plan
PLEASE DO NOT REPLY TO THIS MESSAGE
©2012 CallMe Intellectual Property, All rights reserved. CallMe, The CallMe logo and marks contained herein are trademarks of CallMe Intellectual Property. CallMe Inc. provides products and services under the CallMe brand. Privacy Policy
8
Employee Phishing
9
From: [email protected] Sent: Thursday, March 28, 2013 11:35am To: Pfeiffer, Margaret Subject: Good morning Account #: 8364927193 From: [email protected] Sent: Thursday, March 28, 2013 10:16am To: Pfeiffer, Margaret Subject: Good morning I am in my nephew’s funeral service at the moment but I have an urgent outstanding transaction which I’ll need you to complete today. Firstly, I will need you to update me with the available balance in my account. Secondly, am in the middle of a meeting now and will not be able to make or receive calls kindly email me information you will require to initiate an ongoing domestic wire transfer. I will be very busy but will frequently check my email for your response. We can schedule your furniture delivery for Monday next week if I hear from you. Please acknowledge the receipt of this email.
From: [email protected] Sent: Thursday, March 28, 2013 5:59am To: Pfeiffer, Margaret Subject: Good morning Hi – are you going to be at the office today? I have an urgent outstanding transaction that I would like you to complete for me today.
Thanks.
Esten alerta para campañas de correo electrónico "phishing" contra los empleados que parecen ser interno
Dirección de correo electrónico interno del empleado de la empresa se ha comprometido tiene un captador de atención – alto monto en dólares de una cuenta de celular en este ejemplo
E-mails intentan conducir acciones como pago o cambio de perfil
Ser capaz de reconocer las peticiones que no son coherentes con su comportamiento habitual
Siga los procedimientos de autenticación
9
Spoofing
10
Una vez que los estafadores tienen Malware o Spyware en su sistema informático pueden: Cosechar sus credenciales de acceso; los
sistemas internos, sistemas financieros, correo electrónico, etc..
Leer tus contactos de negocios y recopilar su información
Iniciar correo electrónico a cuentas por pagar pretendiendo ser tú
Preguntar al destinatario en procesar un pago para pagar una factura
Aguardan el recibo de pago o como en este ejemplo, siguen para verificar el pago
Si usted recibe un correo electrónico como éste: Póngase en contacto con el remitente de un
método alternativo para validar la instrucción Siga los procedimientos de autenticación Emplear dos controles antes de hacer
cambios de pago o procesamiento de pagos Validar que las facturas presentadas son
legítimas
From: [email protected] Sent: Monday, July 8, 2013 11:17am To: [email protected] Subject: FW: Wire Transfer This is the third one. We are pulling the confirmation now and will send to you. From: [email protected] Sent: Thursday, June 11, 2013 11:30am To: [email protected] Subject: FW: Wire Transfer FYI, this needs to get processed today. I checked with ?? to get your help processing it along. I will assume we take care of any vendor forms after the fact. I can send am email directly to ??? or let you drive from here. Let me know. From: [email protected] Sent: Tuesday, June 11, 2013 9:59am To: [email protected] Subject: FW: Wire Transfer Process a wire of $73,508.32 to the attached account information. Code it to admin expense. Let me know when this has been completed. Thanks. ------------------------Forwarded message--------------------------------- From: [email protected] Sent: Tuesday, June 11, 2013 6:45am To: [email protected] Subject: Wire Transfer Nick, Per our conversation, I have attached the wiring instructions for the wire. Let me know when done.
Thanks. Charlie
10
11
Understanding a few simple rules can help you spot a fraudster
Recognizing Fake URLs and Websites
Buena Practica en General
Compruebe la dirección URL o correo electrónico
Falso URLs - "@" en medio de la dirección
URLS falsas – errores de ortografía
Escriba la dirección del sitio Web en la dirección de la barra directamente, en lugar de usar un enlace en un mensaje de correo electrónico, especialmente si vas a un sitio financiero
Simplemente revoloteando sobre el vínculo con el ratón. La URL mal aparece en su navegador o status bar (el que suele estar en la parte
inferior de la pantalla) y puedes ver cuál es el nombre del sitio antes de realmente hacer clic en él
Por ejemplo, si vas a un sitio web que es [email protected] no te vas al sitio de Bank of America en absoluto
Sitio legítimo y las empresas utilizan un nombre de dominio como parte de su nombre en lugar de la "@" signo
Algunas URLs parecen mucho el nombre de una conocida empresa pero puede haber cartas transpuestos o excluido
Un ejemplo podría ser "mircosoft.com" en lugar de microsoft.com Esta pequeña diferencia puede ser fácil de pasar por alto y lo están contando los
phishers
12
Response to Fraud
1. Documentar un plan de acción ahora y educar a su equipo 2. Si se expone a un fraude en el internet, inmediatamente llamen la atención y
desenchufe la computadora sospechosa 3. Reportar el incidente a centro de crimen en Internet (www.ic3.gov); el FBI tomará
una mirada colectiva en los casos e investigar el asunto. Elementos de informe: - Información de la cabecera de los mensajes de correo electrónico - Identificadores para el autor (por ejemplo, nombre, sitio web, cuentas bancarias,
direcciones de correo electrónico) - Más detalles sobre cómo, por qué y cuándo ocurrió el fraude - Pérdidas reales e intento - Otra información pertinente que crees que es necesario para apoyar la denuncia
Segregation of Duty Model
Implementar un modelo de segregación de deber: • Ayuda a impedir el fraude interno y externo • Añade una capa de seguridad para proteger las transacciones
de alto riesgo • Implementar (mediante doble aprobación) que dos usuarios
distintos inician y aprobación transacciones • Requiere (a través de la aprobación del doble) que dos
usuarios distintos inician y aprueban la creación de cuentas de usuario, así como los cambios en los derechos
• Proporciona autorización personalizado/derecho para establecer el nivel de acceso al sistema para cada usuario por servicio, por función o por el monto de la transacción
• Utilice el privilegio "menos" modelo, usuario no lo necesita, no conceden.
• Revisar la configuración de cuenta y la administración de usuario regularmente
Mejores prácticas para la protección contra el fraude
14
Mejores prácticas para luchar contra la ingeniería Social
Establecer otros canales de comunicación, tales como llamadas telefónicas, para verificar las transacciones significativas. Organizar esta segunda autentificación temprano en la relación y fuera del entorno de correo electrónico para evitar la interceptación por un hacker No utilice la opción "respuesta“ para responder a un correo electrónico con la actividad transaccional o aprobaciones de pagos. Por el contrario, la opción "hacia adelante" y cualquier tipo en el correo electrónico correcto dirección o seleccione si en la libreta de direcciones de correo electrónico para asegurar la dirección de correo electrónico real utiliza.
Cuidado con los cambios repentinos en las prácticas de negocios. Por ejemplo, si de repente pidió comunicarse con un representante en su dirección de correo electrónico personales cuando toda la correspondencia oficial preciosa ha estado en un correo electrónico de empresa, verificar a través de otros canales que usted todavía está en comunicación con su socio de negocios legítimos.
Mejores prácticas para los usuarios en línea
• Tenga precaución cuando visitan sitios de Internet, evitando las redes sociales & sitios desconocidos que no son de confianza y utilizados para fines comerciales
• Considerar el uso de equipo dedicado, endurecido • Mantenga actualizados los sistemas/software antivirus. Considerar
software anti-malware que protege específicamente a su navegador de Internet
• Implementar la administración deber segregación/dual • Prohibir nombres de usuario compartido/contraseñas y evitar el uso de
funciones de inicio de sesión automático que guardar nombres de usuario/contraseñas
• Nunca acceder a banca en línea vía Internet cafés, bibliotecas públicas o abrir puntos de acceso Wi-Fi
• Informe de actividad de transacciones sospechosas a las autoridades del banco inmediatamente
• ¿Estar atentos durante la sesión en línea: son login solicita que ocurren donde deberían? ¿Sus pantallas en línea parece correctos?
• Educar a todos los usuarios a reconocer las estafas de phishing y saben no abrir archivos adjuntos o haga clic en enlaces en correos electrónicos sospechosos. Siempre debe estar buscando:
• Cualquier solicitud de información personal
• Llamamientos urgentes alegando su cuenta se cerrará si no responden
• Mensajes acerca de las actualizaciones del sistema de seguridad
Online – checklist
Mejores prácticas para los usuarios móviles Mobile – checklist
Physical device security • Dispositivo móvil con pin/contraseña • Dispositivo de bloqueo después de uso • Instalar el software para rastrear el dispositivo móvil en
caso de robo
Administrar la configuración del sistema, descargas y software del dispositivo • No dejes Wi-Fi en modo ad hoc • Desactivar modo detectable después de habilitar los dispositivos
Bluetooth, si tu Smartphone no automáticamente por defecto hasta que se apaga después de agregar un dispositivoSetup a personal firewall
• No modifique el dispositivo: • Give yourself more control
– Enable features that void warranties – Change root file systems – Allow modifications to install third party software/hardware
components
Comprehensive Fraud Prevention Toolkit Mobile – checklist
Promover la educación y sensibilización • Comunicar los últimos esquemas de fraude que incluyen
malware, impulsión por descargas y actualizaciones de software
• Estar en la búsqueda de cambios en el flujo de trabajo del usuario o en las anormalidades de la pantalla
Utilizar las mejores prácticas y soluciones de prevención de fraude • Establecer la segregación del modelo de servicio • Perform daily reconciliation • Establezcan notificaciones preventivas • Realizar higiene rutinaria del PC y el dispositivo
manteniendo software actualizado • Asegurar que los usuarios están utilizando los hábitos de
navegación de internet segura Examinen y Inspeccionen • Revisión de transacciones y los registros de auditoría • Evaluar el inventario usuario y dispositivo
Disclaimer
Bank of America Merrill Lynch” is the marketing name for the global banking and global markets businesses of Bank of America Corporation. Lending, derivatives, and other commercial banking activities are performed globally by banking affiliates of Bank of America Corporation, including Bank of America, N.A., member FDIC. Securities, strategic advisory, and other investment banking activities are performed globally by investment banking affiliates of Bank of America Corporation (“Investment Banking Affiliates”), including, in the United States, Merrill Lynch, Pierce, Fenner & Smith Incorporated and Merrill Lynch Professional Clearing Corp., both of which are registered broker-dealers and members of SIPC, and, in other jurisdictions, by locally registered entities. Merrill Lynch, Pierce, Fenner & Smith Incorporated and Merrill Lynch Professional Clearing Corp. are registered as futures commission merchants with the CFTC and are members of the NFA.
This document is intended for information purposes only and does not constitute a binding commitment to enter into any type of transaction or business relationship as a consequence of any information contained herein.
These materials have been prepared by one or more subsidiaries of Bank of America Corporation solely for the client or potential client to whom such materials are directly addressed and delivered (the “Company”) in connection with an actual or potential business relationship and may not be used or relied upon for any purpose other than as specifically contemplated by a written agreement with us. We assume no obligation to update or otherwise revise these materials, which speak as of the date of this presentation (or another date, if so noted) and are subject to change without notice. Under no circumstances may a copy of this presentation be shown, copied, transmitted or otherwise given to any person other than your authorized representatives. Products and services that may be referenced in the accompanying materials may be provided through one or more affiliates of Bank of America, N.A.
We are required to obtain, verify and record certain information that identifies our clients, which information includes the name and address of the client and other information that will allow us to identify the client in accordance with the USA Patriot Act (Title III of Pub. L. 107-56, as amended (signed into law October 26, 2001)) and such other laws, rules and regulations.
We do not provide legal, compliance, tax or accounting advice. Accordingly, any statements contained herein as to tax matters were neither written nor intended by us to be used and cannot be used by any taxpayer for the purpose of avoiding tax penalties that may be imposed on such taxpayer.
For more information, including terms and conditions that apply to the service(s), please contact your Bank of America Merrill Lynch representative.
Investment Banking Affiliates are not banks. The securities and financial instruments sold, offered or recommended by Investment Banking Affiliates, including without limitation money market mutual funds, are not bank deposits, are not guaranteed by, and are not otherwise obligations of, any bank, thrift or other subsidiary of Bank of America Corporation (unless explicitly stated otherwise), and are not insured by the Federal Deposit Insurance Corporation (“FDIC”) or any other governmental agency (unless explicitly stated otherwise).
This document is intended for information purposes only and does not constitute investment advice or a recommendation or an offer or solicitation, and is not the basis for any contract to purchase or sell any security or other instrument, or for Investment Banking Affiliates or banking affiliates to enter into or arrange any type of transaction as a consequent of any information contained herein.
With respect to investments in money market mutual funds, you should carefully consider a fund’s investment objectives, risks, charges, and expenses before investing. Although money market mutual funds seek to preserve the value of your investment at $1.00 per share, it is possible to lose money by investing in money market mutual funds. The value of investments and the income derived from them may go down as well as up and you may not get back your original investment. The level of yield may be subject to fluctuation and is not guaranteed. Changes in rates of exchange between currencies may cause the value of investments to decrease or increase.
We have adopted policies and guidelines designed to preserve the independence of our research analysts. These policies prohibit employees from offering research coverage, a favorable research rating or a specific price target or offering to change a research rating or price target as consideration for or an inducement to obtain business or other compensation.
Copyright 2014 Bank of America Corporation. Bank of America N.A., Member FDIC, Equal Housing Lender..
Riesgos cibernéticos: ayudando a su empresa a mitigar el fraude y el escándalo La mudanza demográfica hacia las redes sociales y el uso de medios en línea para comunicarse y realizar transacciones, abre oportunidades para los estafadores, que no dejan de aprovechar de este entorno cambiante. Las áreas de vulnerabilidad no son tan claras como lo solían ser. Los avances tecnológicos nos han permitido ser más eficientes y conectarnos en formas cada vez más dinámicas. Pero junto con estos beneficios, pasar a un entorno más abierto tiene algunos inconvenientes, incluyendo un aumento de la exposición al fraude y a posibles “escándalos” en la empresa. En esta sesión descubra cómo un kit de herramientas de prevención de fraude puede ayudar a proteger a su empresa de estafas fraudulentas en el complejo entorno actual.
3 Corporate Presentation www.cencosud.com
2005 Cencosud Cencosud
2014 368 Supermarkets; 0.7 mm m2
19 Shopping Centers; 0.4 mm m2
44 Home Improvement; 0.4 mm m2
22 Department Stores; 0.1 mm m2
923 Supermarkets; 2.4 mm m2 48 Shopping Centers; 0.7 mm m2
89 Home Improvement; 0.8 mm m2
84 Department Stores; 0.4 mm m2
CARG 2005 – 2013: 17.1%
Figures as of March 2014, exchange rates as of the end of each period LTM
Revenue Evolution (USD MM)
CENCOSUD
FLUJO DE INGRESOS - RIESGOS
• Robo de mercadería • No escaneo • Escaneo erróneo • Cheques sin fondos • Tarjetas clonadas • Billetes falsos • Tarjetas de regalo • Programa de lealtad
• Cuadratura de ventas • Depósitos faltantes • Conteo
• Cuadratura de ventas • Depósitos faltantes • Conteo • Boletas de depósito
FLUJO DE PAGOS
• Manuales: petty cash, rendiciones, anticipos
• Cheques: Juicios, finiquitos, pronto pago
• Tarjeta: viajes, PAT, etc
• Electrónico: proveedores, RRHH, transferencias
Host to Host
Batch Input
1. SEGREGRACION DE FUNCIONES • UCDM:
• Estándares de creación de nuevos proveedores • Pago proveedores • Tesorería • Centro de Servicios Compartidos • Apoderados
2. DOBLE LIBERACION • Ordenes de compra y de servicio • Recepción mercadería y liquidación de facturas • Recepción de servicios • Estructura de poderes (doble firma)
MITIGANTES / CONTROLES
3. INTEGRACION SISTEMICA
• Comunicación host to host • Batch Input encriptado • Limitar pagos manuales o por cheques • Digipass / Token
4. CONTROLES
• Contabilización previa a liberación de pago / Compensación de cuentas • Liberación por SAP (ERP) • Conciliaciones bancarias y financieras • Auditorías periódicas • Procedimientos SOX (pago RRHH, proveedores, finanzas, servicios, off
shore)
MITIGANTES / CONTROLES
