Cuelgue, busque y devuelva la llamada – Krebs on Stability


Muchas personas conscientes de la seguridad probablemente piensan que nunca caerán en una estafa de phishing basada en el teléfono. Pero si su respuesta a tal estafa involucra algo más que colgar y volver a llamar a la entidad que dice estar llamando, es posible que se encuentre con un rudo despertar. Así es como un lector experto en seguridad y tecnología fue tomado por más de $ 10,000 en una elaborada artimaña de varias semanas.

La lección de hoy sobre cómo no ser estafado proviene de «Mitch», el seudónimo que elegí para un lector en California que compartió su desgarradora historia bajo condición de anonimato. Mitch es un veterano de la industria de la tecnología, que ha trabajado en seguridad durante varios años en un servicio basado en la nube bastante importante, por lo que está comprensiblemente avergonzado de haber sido engañado por este esquema de confianza.

El viernes 17 de abril, Mitch recibió una llamada de lo que él creía que period su institución financiera, advirtiéndole que se había detectado fraude en su cuenta. Mitch dijo que el identificador de llamadas para esa llamada entrante mostraba el mismo número de teléfono que estaba impreso en el reverso de su tarjeta de débito.

Pero Mitch conocía suficientes estafas para comprender que los estafadores pueden y a menudo hacen números de teléfono falsos. Entonces, mientras todavía estaba hablando por teléfono con la persona que llamaba, rápidamente inició sesión en su cuenta y vio que efectivamente había varias transacciones no autorizadas que se remontaban varias semanas. La mayoría eran cargos relativamente pequeños, menos de $ 100 cada uno, pero también hubo dos retiros de cajeros automáticos de $ 800 en cajeros automáticos en Florida.

Si la persona que llama había sido un estafador, razonó en ese momento, habrían pedido información particular. Pero la simpática dama del teléfono no le pidió a Mitch ningún detalle individual. En cambio, ella le aseguró con calma que el banco revertiría los cargos fraudulentos y dijo que le enviarían una nueva tarjeta de débito por correo urgente. Después de asegurarse de que el representante sabía qué transacciones no eran suyas, Mitch le agradeció a la mujer por notificárselo y colgó.

Al día siguiente, Mitch recibió otra llamada sobre sospecha de fraude en su cuenta bancaria. Algo sobre esa conversación no parecía correcto, por lo que Mitch decidió usar otro teléfono para hacer una llamada al departamento de servicio al cliente de su banco, mientras mantenía la primera llamada en espera.

“Cuando el representante finalmente respondió a mi llamada, les pedí que confirmaran que estaba hablando por teléfono con ellos en la otra línea en la llamada que iniciaron hacia mí, por lo que el representante de alguna manera verificó y vio que había otra llamada activa con Mitch ,» él dijo. «Pero resultó que esa otra llamada fue que los atacantes también estaban hablando con mi banco fingiendo ser yo».

Mitch dijo que su institución financiera en el pasado verificó su identidad por teléfono enviándole un código único al número de teléfono celular en el archivo de su cuenta, y luego pidiéndole que leyera ese código. Después de colgar con el representante de servicio al cliente que había llamado, la persona en la llamada unique dijo que el banco le enviaría un código único para validar su identidad.

Ahora seguro de que estaba hablando con un representante de su banco y no con un estafador, Mitch leyó el código que apareció por mensaje de texto poco después. Después de más garantías de que cualquier cargo falso adicional se acreditaría en su cuenta y que pronto recibiría una nueva tarjeta, Mitch estaba molesto pero satisfecho. Dijo que revisó su cuenta en línea varias veces durante el fin de semana, pero no vio más signos de actividad no autorizada.

Es decir, hasta el lunes siguiente, cuando Mitch volvió a iniciar sesión y vio que una transferencia bancaria saliente de $ 9,800 había sido registrada en su cuenta. En ese momento, Mitch se dio cuenta de que las llamadas que recibió el viernes y el sábado probablemente habían sido de estafadores, no de su banco.

Otra llamada a su institución financiera y una escalada a su departamento de fraude confirmó esa sospecha: el investigador dijo que otro hombre había llamado el sábado haciéndose pasar por Mitch, había proporcionado un código único que el banco envió por mensaje de texto al número de teléfono en el archivo de la cuenta de Mitch – el mismo código que el verdadero Mitch había sido engañado para que se rindiera – y luego inició una transferencia bancaria saliente.

Parece que la llamada inicial del viernes fue para hacerle pensar que su banco estaba al tanto y respondía al fraude activo contra su cuenta, cuando en realidad el banco no estaba en ese momento. Además, la llamada del viernes ayudó a establecer el atraco más grande al día siguiente.

Mitch dijo que él y su banco ahora creen que en algún momento su tarjeta de débito y su PIN fueron robados, muy probablemente por un dispositivo de descremado plantado en un terminal de punto de venta, bomba de gasoline o cajero automático que había usado en las últimas semanas. . Armados con una copia falsificada de su tarjeta de débito y PIN, los estafadores podían sacar dinero de su cuenta en los cajeros automáticos e ir de compras a las grandes tiendas para comprar varios artículos. Pero para sacar mucho dinero de su cuenta de una vez, necesitaban la ayuda de Mitch.

Para empeorar las cosas, el investigador de fraudes dijo que la transferencia bancaria de $ 9,800 había sido enviada a una cuenta en un banco solo en línea que también estaba a nombre de Mitch. Mitch dijo que no abrió esa cuenta, pero que esto pudo haber ayudado a los estafadores a eludir las banderas de fraude por la transferencia bancaria no autorizada, ya que desde la perspectiva del banco, Mitch simplemente estaba transfiriendo dinero a otra de sus cuentas. Ahora, se enfrenta a la ardua tarea de limpiar el robo de identidad (fraude de cuenta nueva) en el banco solo en línea.

Mitch dijo que en retrospectiva, había varias rarezas que deberían haber sido banderas rojas adicionales. Por un lado, en su llamada saliente al banco el sábado mientras tenía a los estafadores en espera, el representante de servicio al cliente le preguntó si estaba visitando a su familia en Florida.

Mitch respondió que no, que no tenía ningún familiar viviendo allí. Pero cuando habló con el departamento de fraude del banco el lunes siguiente, el investigador dijo que los estafadores haciéndose pasar por Mitch habían logrado agregar un «aviso de viaje» falso a su cuenta, esencialmente notificando al banco que estaba viajando a Florida y que debería ignorarlo cualquier alerta de fraude basada en la geografía creada por transacciones con tarjeta presente en esa región. Eso explicaría por qué su banco no vio nada extraño en que su cliente de California repentinamente usara su tarjeta en Florida.

Además, cuando el falso representante de atención al cliente lo llamó, ella tropezó un poco cuando Mitch le dio la vuelta. Como parte de su falso guión de verificación de cliente, le pidió a Mitch que indicara su dirección física.

«Le dije» me lo dices «y ella me leyó la dirección de la casa en la que crecí», recordó Mitch. «Así que estaba revisando algunos registros públicos que había encontrado, aparentemente, porque conocían a mis empleadores y direcciones anteriores. Y ella dijo: «Señor, estoy en un centro de llamadas y hay cámaras sobre mi cabeza. Solo estoy haciendo mi trabajo «. Me imaginé que period nueva o de mierda en su trabajo, pero quién sabe, tal vez estaba diciendo la verdad. De todos modos, todo el tiempo mi novia está sentada a mi lado escuchando esta conversación y ella dice: «Esto suena como una mierda».

El banco de Mitch logró revertir la transferencia bancaria no autorizada antes de que pudiera completarse, y desde entonces han devuelto todos los fondos robados a su cuenta y emitieron una nueva tarjeta. Pero dijo que todavía se siente como un tonto por no observar la regla de oro: si alguien llama diciendo que son de su banco, simplemente cuelgue y vuelva a llamarlos, idealmente usando un número de teléfono que vino del sitio website del banco o del dorso de su tarjeta de pago. Como sucedió, Mitch solo siguió la mitad de ese consejo.

¿Qué más podría haber hecho que sea más difícil para los estafadores superar a Mitch? Podría haber habilitado las alertas móviles para recibir mensajes de texto en cualquier momento que se publique una nueva transacción en su cuenta. Salvo eso, podría haber vigilado más de cerca el saldo de su cuenta bancaria.

Si Mitch hubiera colocado previamente un bloqueo de seguridad en su archivo de crédito con las tres principales oficinas de crédito al consumo, los estafadores probablemente no hubieran podido abrir una nueva cuenta corriente en línea a su nombre con la que recibir la transferencia bancaria de $ 9,800 (aunque podrían todavía han podido transferir el dinero a otra cuenta que controlaban).

Como lo demuestra la experiencia de Mitch, muchas personas conscientes de la seguridad tienden a centrarse en proteger su identidad en línea, mientras que quizás descartan la amenaza de estafas telefónicas menos sofisticadas técnicamente. En este caso, Mitch y su banco determinaron que sus atacantes nunca intentaron iniciar sesión en su cuenta en línea.

«Lo interesante aquí es que la totalidad del fraude se completó por teléfono, y en ningún momento los estafadores comprometieron mi cuenta en línea», dijo Mitch. “Absolutamente debería haber colgado e iniciar la llamada yo mismo. Y como profesional de seguridad, eso es parte de la vergüenza que soportaré por mucho tiempo «.

Otras lecturas:

Las estafas de suplantación de identidad son cada vez más inteligentes
Por qué los números de teléfono apestan como prueba de identidad
Las estafas de phishing del teléfono de Apple mejoran
SMS Phishing + ATM sin tarjeta = beneficio


Esta entrada fue publicada el jueves 23 de abril de 2020 a las 1:27 pm y está archivada bajo A Minor Sunshine, Newest Warnings, The Coming Storm.
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2..

Puedes saltar hasta el ultimate y dejar un comentario. Pinging no está permitido actualmente.



Enlace a la noticia original