Redacción NM
- ENSafrica fracasó en su deber de cuidado cuando no advirtió a un comprador de vivienda sobre la amenaza que representaban los piratas informáticos, dice un juez.
- Judith Hawarden perdió millones después de que los piratas informáticos cambiaran el número de cuenta bancaria en un PDF enviado por correo electrónico por el bufete de abogados.
- La seguridad cibernética en ENS podría haberse reforzado por tan solo R2,000 al mes, dijeron testigos al tribunal superior de Johannesburgo.
- Para obtener más historias, visite www.BusinessInsider.co.za.
Se ordenó al bufete de abogados más grande de África que pague 5,5 millones de rand a una mujer que fue víctima de un sindicato que pirateó su correo electrónico durante la compra de una propiedad.
Los piratas informáticos cambiaron el número de cuenta bancaria en un PDF enviado por correo electrónico a Judith Hawarden por ENSafrica, que estaba manejando el traspaso de una casa en Johannesburgo que ella estaba comprando a su cliente.
En lugar de aterrizar en la cuenta fiduciaria del bufete de abogados, el dinero de Hawarden terminó en la cuenta de uno de los piratas informáticos y desapareció rápidamente.
Después del descubrimiento del fraude, ENSafrica le escribió a Hawarden exigiendo el dinero por segunda vez, y ella demandó al banco por no cumplir con su deber de cuidado al no advertirle negligentemente sobre los peligros de la piratería o tomar precauciones para evitarlo.
Tres años y medio después, el tribunal superior de Johannesburgo falló a favor de Hawarden el lunes y ordenó a la firma pagarle 5,5 millones de rand más intereses y los costos y honorarios de dos testigos expertos.
El juez Phanuel Mudau dijo que incluso uno de los propios expertos de ENSAfrica admitió ante el tribunal que la empresa podría haber hecho mucho más para evitar el fraude, y podría haber costado tan solo R2.000 al mes para implementar una solución técnica.
“Si no fuera por la transmisión negligente de los detalles de su cuenta y por no advertir a Hawarden por adelantado sobre el peligro inherente del compromiso del correo electrónico comercial, ella no habría sufrido la pérdida”, dijo.
“[ENS] era un experto en transporte y estaba facilitando y administrando la transacción. El riesgo de pérdida para Hawarden era muy previsible para ENS”.
Mudau rechazó el argumento del bufete de abogados de que un fallo a favor de Hawarden expondría a todos los trasmisores a reclamos del mismo tipo por parte de terceros con los que no tienen relación.
“ENS tenía al menos un deber general de cuidado con… Hawarden”, dijo. “[This] surgió desde el momento en que aceptó el escrito para actuar como cedente en la transacción. [She] depende de [ENS] actuar profesionalmente.”
Aunque la evidencia en la corte mostró que en 2019 era una práctica «casi universal» que los transmisores enviaran sus datos bancarios por correo electrónico, «no absuelve [ENS] de su comportamiento inseguro”.
La firma obviamente lo sabía mejor, dijo Mudau, porque su mandato de inversión en la cuenta fiduciaria, enviado a Hawarden después de que ella hizo el pago de R5.5 millones pero antes de que se detectara el fraude, «contenía varias advertencias sobre el compromiso del correo electrónico comercial y las precauciones que se deben tomar contra él». ”.
Mudau también dictó una indemnización en costas punitivas contra ENSafrica por incluir en sus archivos judiciales numerosos documentos de la computadora portátil de Hawarden que no tenían relevancia para el caso, y por violar los acuerdos de no tomar copias de estos documentos cuando tuvo acceso a su computadora durante el proceso de descubrimiento. . Dijo que este era un comportamiento «atroz».
La terrible experiencia de Hawarden comenzó cuando se divorció en 2019 y su esposo le dio R6 millones para la compra de una casa como parte del acuerdo.
Después de decidirse por una casa en Forest Town, pagó un depósito de R500,000 a Pam Golding Properties en mayo. Tres meses después, los piratas informáticos comenzaron a interceptar sus correos electrónicos con la secretaria de traspaso de la ENS, Eftyhia Maninakis, uno de los cuales tenía un archivo PDF adjunto con los detalles de la cuenta bancaria de la empresa.
Hizo el pago de R5,5 millones el 22 de agosto desde la sucursal Rosebank de Standard Bank. “El banco beneficiario, a saber, FNB, no pudo recuperar los fondos malversados”, dijo Mudau.
La carta de ENS del mes siguiente solicitando un pago de reemplazo contenía una advertencia instando a Hawarden a verificar telefónicamente los datos bancarios de la empresa antes de realizar el pago, y se supo en el tribunal que esto se había agregado en respuesta al fraude de agosto.
Anton van ‘t Wout, un experto en análisis forense digital que testificó a favor de Hawarden, hizo una demostración ante el tribunal que, según Mudau, “mostró la facilidad con la que un correo electrónico y los archivos adjuntos en PDF pueden falsificarse y modificarse, la inseguridad inherente del correo electrónico y alternativas , formas más seguras de comunicar información confidencial, incluido el uso de un portal seguro junto con la autenticación de dos factores”.
El abogado Mark Heyink, que se especializa en leyes de TI y salvaguardas de seguridad organizacional, dijo al tribunal que las declaraciones de los testigos de ENS revelaron una «conciencia inadecuada» entre su personal sobre el compromiso del correo electrónico comercial.
Cuando testificó, Maninakis dijo que no sabía que los archivos PDF podían manipularse hasta que ocurrió la pérdida de Hawarden, y Mudau dijo que esto demostraba que su capacitación y conocimiento de los peligros de la piratería eran «irremediablemente inadecuados». El transportista de ENS, Arshaad Carrim, dijo que no recordaba haber recibido capacitación en seguridad cibernética.
“Visto objetivamente, [Hawarden] no puede ser criticada por depositar su confianza en [ENS], que ella sabía que era un bufete de abogados muy grande y de buena reputación”, dijo Mudau. “En su versión, que acepto y no puedo criticar, ella no pensó que necesitaba buscar consejo ya que estaba tratando con un bufete de abogados cuya reputación lo precedía.
“Su caso estableció claramente que el envío de datos bancarios por correo electrónico es intrínsecamente peligroso y, por lo tanto, debe evitarse en favor de, por ejemplo, un portal seguro, o debe ir acompañado de otras medidas de precaución como confirmación telefónica o advertencias apropiadas que se comunican de forma segura. . Los portales seguros estaban disponibles en 2019 y habrían evitado el fraude.
“ENS está en la mejor posición para comprender y prevenir el compromiso del correo electrónico comercial. Los individuos en la sociedad generalmente no están tan bien ubicados para responder a la amenaza en constante evolución del delito cibernético, que es de naturaleza sofisticada y técnica”.
En octubre de 2021, el correo y guardián informó que Bukelwa Kwinana, Robert Asamoah y Thembani Maswanganyi compareció ante el tribunal especializado en delitos comerciales de Johannesburgo en relación con el fraude de Hawarden. Enfrentaron cargos de fraude, falsificación, pronunciación y contravención de la Ley de Prevención del Crimen Organizado.
