¿Habría caído por esta estafa telefónica? – Krebs sobre seguridad


Es posible que haya escuchado que a los estafadores telefónicos de hoy en día les gusta usar los servicios de suplantación de identidad para hacer que sus llamadas fraudulentas parezcan más creíbles. Pero probablemente no sabía que estos estafadores también pueden usar la suplantación de identidad de la persona que llama para engañar a su banco para que brinde información sobre transacciones recientes en su cuenta, datos que luego pueden ser abusados ​​para hacer que sus estafas telefónicas sean más creíbles y exponerlo a formularios adicionales de robo de identidad.

La semana pasada, KrebsOnSecurity contó la desgarradora historia de un lector (un experto en seguridad, nada menos) que intentó cambiar las tornas de sus atormentadores telefónicos y fracasó espectacularmente. En ese episodio, las personas que se hicieron pasar por su banco no solo falsificaron el número de teléfono true del banco, sino que también fingieron ser él en una llamada separada al mismo tiempo con su banco.

Esto frustró sus esfuerzos para asegurarse de que realmente fuera su banco el que lo llamó, porque llamó a su banco con otro teléfono y el banco confirmó que actualmente estaban en una llamada separada con él sobre fraude en su cuenta (sin embargo, la otra llamada fue el estafador que finge ser él).

Poco después de que se publicó esa historia, escuché de otro lector, lo llamaremos «Jim», ya que no quería que se usara su nombre actual para esta historia, cuya esposa fue objeto de una estafa comparable, aunque con un giro importante: Los estafadores estaban armados con información sobre varias de sus transacciones financieras recientes, que él afirma que obtuvieron del propio sistema telefónico automatizado del banco simplemente falsificando su número de teléfono.

«Cuando originalmente llamaron a mi esposa, no hubo transacciones fraudulentas en su cuenta, pero pudieron especificar las últimas tres transacciones que había realizado, que combinadas con el identificador de llamadas se habían ganado su confianza por mistake», explicó Jim. “Después de descubrir lo que estaba sucediendo, nos preguntamos cómo los delincuentes habían obtenido sus últimas tres transacciones sin entrar en su cuenta en línea. Al final resultó que, llamar al número de teléfono en el reverso de la tarjeta de crédito desde el número de teléfono vinculado con la tarjeta proporcionó las transacciones más recientes sin proporcionar ninguna forma de autenticación «.

Jim dijo que estaba tan horrorizado al darse cuenta de esto que llamó al mismo número desde su teléfono e intentó acceder a su cuenta, que también está en Citi pero completamente separada de la de su cónyuge. Efectivamente, dijo, mientras llamaba desde el número en el archivo de su cuenta, el sistema automatizado le permitía revisar las transacciones recientes sin ninguna otra autenticación.

«Confirmé en mi tarjeta Citi por separado que a menudo (pero no siempre) proporcionaban los detalles de la transacción», dijo Jim. “Me horrorizó que Citi hiciera eso. Entonces, parecía que los delincuentes falsificaban la identificación de la persona que llamaba al llamar a Citibank, así como al llamar al objetivo / víctima.«

El incidente que describió Jim ocurrió a fines de enero de 2020, y Citi puede haber cambiado sus procedimientos desde entonces. Pero en una entrevista telefónica con KrebsOnSecurity a principios de esta semana, Jim hizo una llamada al sistema automatizado de Citi desde su teléfono móvil en el archivo del banco, y pude escuchar los sistemas de Citi pidiéndole que ingrese los últimos cuatro dígitos de su número de tarjeta de crédito antes de que él podría revisar transacciones recientes.

La solicitud de los últimos cuatro números de tarjeta de crédito del cliente fue coherente con mis propias pruebas, que se basaron en un servicio de suplantación de identidad de llamadas anunciado en el cibercrimen subterráneo y dirigido a una cuenta de Citi controlada por este autor.

En una prueba, la llamada falsa permitió a KrebsOnSecurity escuchar datos de transacciones recientes, dónde y cuándo se realizó la transacción, y cuánto se gastó, después de proporcionar al sistema automatizado los últimos cuatro dígitos del número de tarjeta de crédito de la cuenta. En otra prueba, el sistema automatizado solicitó el número de Seguro Social completo del titular de la cuenta.

Citi se negó a discutir acciones específicas que toma para detectar y prevenir el fraude. Pero en una declaración escrita proporcionada a este autor, dijo que la compañía monitorea y analiza continuamente las amenazas y busca oportunidades para fortalecer sus controles.

«Vemos intentos regulares de los estafadores para obtener acceso a la información y estamos constantemente monitoreando las amenazas emergentes y tomando medidas preventivas para la protección de nuestros clientes», se lee en el comunicado. “Para las llamadas entrantes a los centros de llamadas, continuamos adaptando e implementando capacidades de detección para identificar números de teléfono sospechosos o falsificados. También alentamos a los clientes a instalar y usar nuestra aplicación móvil y registrarse para recibir notificaciones automáticas y alertas en la aplicación móvil «.

PAUSAS EMBARAZADAS Y BOMBILLAS DE CORREO ELECTRÓNICO

Jim dijo que el estafador que llamó a su esposa claramente ya conocía su dirección postal y de correo electrónico, su número de teléfono móvil y el hecho de que su tarjeta era una tarjeta Citi de la marca American Airlines. La persona que llamó dijo que había habido una serie de transacciones sospechosas y procedió a volver a leer los detalles de varias transacciones recientes para verificar si se trataba de compras que ella había autorizado.

Una lista de servicios ofrecidos por una de varias tiendas subterráneas que venden servicios de falsificación de identificador de llamadas y bombardeo por correo electrónico.

La esposa de Jim rápidamente inició sesión en su cuenta de Citi y vio que los montos, las fechas y los lugares de las transacciones a las que hace referencia la persona que llama realmente correspondían a transacciones legítimas recientes. Pero ella no vio ninguna señal de cargos no autorizados.

Después de verificar las transacciones legítimas recientes con la persona que llama, la persona por teléfono le pidió su palabra de seguridad. Cuando lo proporcionó, hubo una larga espera antes de que la persona que llama volviera y dijera que había proporcionado la respuesta incorrecta.

Cuando se corrigió y proporcionó una palabra de seguridad diferente, hubo otra pausa larga antes de que la persona que llamaba dijera que la segunda respuesta que dio era correcta. En ese momento, la persona que llamó dijo que Citi le enviaría una nueva tarjeta y que había evitado que varios cargos falsos incluso se publicaran en su cuenta.

No entendió hasta más tarde que las pausas eran puntos en los que los estafadores tenían que ponerla en espera para transmitir sus respuestas en su propia llamada haciéndose pasar por ella al departamento de servicio al cliente de Citi.

No mucho después de que la esposa de Jim colgara con la persona que llamó, su bandeja de entrada rápidamente comenzó a llenarse con cientos de mensajes automáticos de varios sitios world-wide-web que intentaban confirmar una suscripción a un boletín de correo electrónico que supuestamente había solicitado.

Como destinatario de varios de estos ataques de «bombardeo por correo electrónico», puedo verificar que los delincuentes a menudo utilizarán los servicios ofrecidos en el cibercrimen subterráneo para inundar la bandeja de entrada de un objetivo con estas suscripciones de boletines basura poco después de cometer fraude en el nombre del objetivo cuando desean enterrarlo. una notificación por correo electrónico del banco de un objetivo.

‘REEMBOLSO DE SOBREPAGO’

En el caso de la esposa de Jim, la inundación de la bandeja de entrada fracasó y solo la hizo sospechar más sobre la verdadera naturaleza de la reciente llamada telefónica. Entonces llamó al número que figura en el reverso de su tarjeta Citi y le dijeron que en realidad acababa de llamar a Citi y solicitó lo que se conoce como un «reembolso de sobrepago». La pareja ha tenido durante mucho tiempo sus tarjetas de crédito en el pago automático, y el pago más reciente fue especialmente alto, casi $ 4,000, gracias a una avalancha de compras de regalos de Navidad para amigos y familiares.

En un reembolso por sobrepago, un cliente puede solicitar que el banco reembolse cualquier monto pagado hacia una factura anterior que exceda el pago mensual mínimo requerido. Si lo hace, también se acumularán en la cuenta intereses vencidos sobre ese monto impago.

En este caso, la persona que llamó haciéndose pasar por la esposa de Jim solicitó un reembolso por sobrepago de poco menos de $ 4,000. No está claro cómo o dónde los estafadores pretendían que se enviara este pago, pero por alguna razón Citi terminó diciendo que cortarían un cheque físico y lo enviarían por correo a la dirección registrada. Probablemente no sea lo que querían los estafadores, aunque desde entonces Jim y su esposa dicen que han estado en alerta por cualquier persona sospechosa que esté al acecho cerca de su buzón.

«La persona con la que hablamos en el departamento de fraude de Citi insistió en que sí, fue mi esposa quien llamó porque la llamada vino de su número de teléfono móvil», dijo Jim. «La empleada de Citi estaba alarmada porque no entendía toda la noción de falsificación de identificador de llamadas. Y a los dos nos pareció un poco inquietante que alguien con fraude en un banco tan importante ni siquiera entendiera que tal cosa period posible «.

COMPRAS PARA «CVV»

Los expertos en fraude dicen que los estafadores detrás de los tipos de llamadas dirigidas a la familia de Jim probablemente se vean impulsados ​​por la venta desenfrenada de registros de tarjetas de crédito robados a comerciantes en línea pirateados. Estos datos, conocidos como «CVV» en el cibercrimen subterráneo, se venden en paquetes por alrededor de $ 15 por registro, y muy a menudo incluyen el nombre, la dirección, el número de teléfono, la dirección de correo electrónico y el número completo de la tarjeta de crédito o débito, la fecha de vencimiento y valor de verificación de tarjeta (CVV) impreso en el reverso de la tarjeta.

Una captura de pantalla de una tienda subterránea que vende discos CVV. Tenga en cuenta que todos estos registros vienen con la dirección, correo electrónico, número de teléfono y código postal del titular de la tarjeta. Simply click para agrandar. Imagen: Gemini Advisory.

Docenas de tiendas de delitos cibernéticos trafican con estos datos robados, que se usan más tradicionalmente para defraudar a los comerciantes en línea. Pero dichos registros son ideales para delincuentes involucrados en el tipo de estafas telefónicas que son el tema de este artículo.

Eso es de acuerdo a Andrei Barysevich, CEO y cofundador de Gemini Advisory, una compañía con sede en Nueva York que monitorea docenas de tiendas subterráneas que venden datos de tarjetas robadas.

«Si los estafadores ya tienen el número de teléfono celular del objetivo, en muchos casos también tienen la información de la tarjeta de crédito del objetivo», dijo Barysevich.

Gemini estima que actualmente hay unos 13 millones de registros CVV a la venta en la world wide web oscura, y que más del 40 por ciento de estos registros puestos a la venta durante el año pasado incluyeron el número de teléfono del titular de la tarjeta.

Los datos de transacciones financieras recientes no solo pueden ayudar a los estafadores a suplantar mejor a su banco, También puede ser útil para vincular la cuenta de un cliente con otra cuenta que los estafadores controlan. Esto se debe a que PayPal y otras instituciones financieras en línea de juego puro permiten a los clientes vincular cuentas verificando el valor de los microdepósitos.

Por ejemplo, si desea poder transferir fondos entre PayPal y una cuenta bancaria, la compañía primero enviará un par de pequeños depósitos, generalmente unos centavos, a la cuenta que desea vincular. Solo después de verificar esos importes exactos se otorgará la solicitud de vinculación de cuenta.

Solo cuelga

Tanto esta como la historia de la semana pasada ilustran por qué la única respuesta sensata a una llamada que pretende ser de su banco es colgar, buscar el número de servicio al cliente de su banco en su sitio internet o en el reverso de su tarjeta, y llamarlos usted mismo .

Mientras tanto, los estafadores que piratean las finanzas de las personas con nada más que un teléfono han aumentado significativamente el volumen de ataques en los últimos meses, nueva investigación sugiere. Empresa de prevención de fraude Siguiente llamante dijo esta semana que ha rastreado «incrementos masivos en los volúmenes de llamadas y llamadas de alto riesgo en las compañías Fortune 500 como resultado de COVID-19».

Imagen: Siguiente llamante.

«Después de un breve descanso en la semana 4 (6-12 de abril), la semana 5 (13-19 de abril) vio el volumen de llamadas entre los clientes de Upcoming Caller en los sectores de telecomunicaciones y servicios financieros, un aumento del 40% por encima de los máximos anteriores», encontró la compañía. «Particularmente preocupante es la actividad que tiene lugar en el sector de servicios financieros, donde el tráfico de llamadas superó los máximos anteriores en un 800%».

Next Caller dijo que es probable que parte de ese aumento se deba a numerosos cortes de aplicaciones móviles y en línea para muchas instituciones financieras importantes en un momento en que más de 80 millones de estadounidenses estaban tratando simultáneamente de rastrear el estado de sus depósitos de estímulo. Pero dijo que el aumento también trajo consigo una afluencia de estafadores que buscan capitalizar todo el caos.

«Las llamadas de alto riesgo a los servicios financieros aumentaron un 50% por encima de los niveles anteriores a COVID, y un banco Fortune 100 sufrió un aumento de alto riesgo del 60% durante la semana 5», escribió la compañía en un informe reciente.


Etiquetas: citibank, bomba de correo electrónico, Gemini Advisory, Future Caller

Esta entrada se publicó el martes 28 de abril de 2020 a las 4:55 p.m. y se archiva en Últimas advertencias, Fraude net 2..
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2..

Puedes saltar hasta el final y dejar un comentario. Pinging no está permitido actualmente.



Enlace a la noticia authentic