Compromiso en correos electrónicos profesionales: ¡a veces pagas dos veces!

0
702


  Fraude

Una reciente decisión judicial de reclamos menores Ontario dice que tiene políticas y procedimientos efectivos en el lugar de trabajo para la transferencia electrónica de fondos

.
pregunta:

Cuando un estafador asume el control de la víctima
La cuenta de correo electrónico de A, entonces, imitando a la víctima A, da instrucciones a
Víctima B, quien luego transfiere los fondos destinados a la Víctima A (o un tercero) a
la cuenta del estafador, ¿es la víctima responsable de la pérdida?

Los hechos

La demanda subyacente era simple y
Tradicional. El demandante buscaba un saldo impago para una evaluación ambiental
servicios por un total de $ 15,670.54. El demandado reconoció la deuda
pero pidió insolvencia. El demandante interpuso una acción para la solución de reclamos menores el 27 de abril.
2018. Las partes llegaron a un acuerdo el 1 de agosto de 2018.

Los términos relevantes del acuerdo son los siguientes:

Mark Schokking en nombre de la empresa.
Los accionistas deben pagar a [the Plaintiff] la suma de $ 7,000 de la siguiente manera
y liquidación final de la reclamación.

Mark Schokking y / o la compañía.
Los accionistas depositarán $ 7,000.00 en la cuenta de fideicomiso de McDonald's, Duncan
LLP, número de cuenta XXXXX-773, Banco de Montreal, número del 8 de agosto de 2018 a más tardar …

Entre el 1 de agosto de 2018 y el 8 de agosto de 2018, un estafador fue golpeado. El estafador tuvo acceso al correo electrónico del asistente legal que representa al demandante en el lugar de trabajo. Sus credenciales de correo electrónico se obtuvieron mediante un ataque de phishing o posiblemente un ataque de "fuerza bruta". El estafador cambió las "reglas" de correo electrónico del asistente legal, lo que resultó en lo siguiente:

  • ser transferido a una cuenta externa de Gmail y correo entrante original
    eliminado automáticamente
  • El estafador pudo entonces
    enviar correos electrónicos desde la cuenta del asistente legal a las cuentas específicas. Si la
    destinatario devuelto por correo electrónico, sería redirigido.
  • El paralegal no tendría forma
    Sé que la correspondencia estaba teniendo lugar.

Con estas redirecciones en su lugar, el
El estafador envió instrucciones revisadas al Sr. Schokking el 1 de agosto de 2018. El
le pide al Sr. Schokking que deposite el dinero en una cuenta de Credit Union
Medicine Hat, Alberta. El Sr. Schokking respondió por correo electrónico solicitando la dirección física.
El estafador, fingiendo ser el asistente legal, proporcionó la información.
Al final, el Sr. Schokking envió el dinero a la cuenta de Medicine Hat. El fraude
fue descubierto más tarde, pero el dinero nunca fue recuperado.

El solicitante presentó una moción de ejecución
la regulación, argumentando que el acusado no había cumplido con el
condiciones de pago. El acusado tomó la posición de que había satisfecho los términos del
la regulación.

Después de notar una falta de jurisprudencia y
la necesidad de intervención legislativa en esta área específica, el juez suplente
concluyó que, como regla predeterminada, el sujeto de un fraude (víctima A) que resulta
en otra entidad (víctima B), la apropiación indebida de fondos para la víctima A no será responsable de la lesión a menos que:

  • Las víctimas A y B estuvieran bajo contrato
    que autorizó a B a confiar en las instrucciones por correo electrónico de A, y el contrato transfiere la responsabilidad en caso de pérdida resultante de
    instrucciones de pago fraudulentas a A; o,
  • Hay evidencia de voluntad
    mala conducta o deshonestidad de la víctima A; o,
  • Negligencia por parte
    A.

En este caso, el juez suplente concluyó que
Ninguna de estas excepciones se aplica. No hubo contrato entre las dos partes.
más allá de los términos originales del Reglamento, y no hubo evidencia de
mala conducta, deshonestidad o negligencia por parte del asistente legal o su gabinete

El juez suplente concluyó que
enviar fondos de liquidación a la cuenta de Medicine Hat en lugar de
cuenta de fideicomiso, el demandado no siguió los términos del acuerdo. la
El juez adjunto ordenó al acusado que pague $ 7,000 por la solución del reclamo.

La comida para llevar

El viejo adagio que se necesita
una mejor curación "sigue siendo válida en el mundo del fraude por correo electrónico. proactivo
prácticas de gestión de riesgos tales como capacitación de empleados, procedimientos reactivos y
Las políticas de oficina bien implementadas pueden ser una forma económica y efectiva de
gestionar el riesgo continuo de comprometer el correo electrónico de empresas y cibernéticos

Este caso es un excelente ejemplo de cómo tiene
toma múltiples errores de múltiples partes para resultar en una pérdida. A la vez
donde el elemento humano continúa constituyendo la esencia de las demandas cibernéticas
Los controles de gestión y la capacitación de los empleados son esenciales para cumplir con estos
exposiciones al riesgo. En este caso particular, había dos formas en que la probabilidad y
La gravedad de esta violación podría haber cambiado.

La primera es la necesidad de que las organizaciones
capacitar de manera proactiva a los empleados para que se arriesguen permanentemente a ciber-violaciones la
El especialista de TI señaló que la contraseña del asistente legal era
considerado "fuerte" y, por lo tanto, probablemente resistente al ataque de fuerza bruta.
Esto sugiere que su información de identificación se obtuvo a través de una estafa de "phishing". frecuente
cambio de contraseña y revisión cuidadosa de correos electrónicos con las características de un "phishing".
"estafa" podría haber evitado un compromiso por correo electrónico en primer lugar.

La segunda cosa para recordar es que a la edad de
Las transferencias electrónicas prácticas, las organizaciones deben tener políticas y procedimientos
lugar para verificar cualquier cambio en las instrucciones de depósito. Esto es particularmente cierto
cuando estas nuevas instrucciones incluyen una transferencia a una cuenta extraprovincial
sin aparente conexión con las partes. En este caso, el
el acusado hizo una llamada telefónica después de recibir el correo electrónico que podrían haber reducido
el impacto del compromiso de correo electrónico del asistente legal y le ahorró tener que pagar
dos veces a pedido que creyeron resuelto.

Ver: St. Lawrence Testing & Inspection Co. Ltd. c Lanark Leeds Distribution Ltd., 2019 CanLII 69697 (EN SCSM),

Esta publicación se publicó originalmente en el blog Strigberger Brown Armstrong LLP el 19 de agosto de 2019.

Devan Marr

Devan Marr es abogado en Strigberger Brown Armstrong LLP. Con dos oficinas en Toronto y Kitchener / Waterloo, la firma ofrece una gama completa de servicios legales a sus socios de la industria en las áreas de seguros y gestión de riesgos. La firma tiene como objetivo proporcionar a sus clientes asesoramiento legal específico, práctico y rentable. Devan defiende principalmente las reclamaciones de seguros que tienen un interés particular en la intersección de las obligaciones contractuales, estatutarias y de derecho consuetudinario de las partes en las reclamaciones de responsabilidad profesional y discapacidad a largo plazo. Su práctica también incluye la provisión de asesoramiento legal relacionado con el empleo a empleadores y empleados en el contexto de negociaciones de contratos, la evaluación de cláusulas de terminación, investigaciones en el lugar de trabajo y La evaluación de la exposición a solicitudes de despido injustificadas.

Últimos mensajes de Devan Marr (ver todos)

ciberseguridad, compromiso de correo electrónico, legislación laboral, fraude, gestión de riesgos

LEAVE A REPLY

Please enter your comment!
Please enter your name here