El FBI dice que el aumento repentino de la banca móvil es …


El malware móvil y las aplicaciones falsas que pretenden ser software bancario legítimo son grandes riesgos, dice la agencia de aplicación de la ley.

Un aumento reciente en el uso de aplicaciones de banca móvil en los EE. UU. Llevó al FBI esta semana a advertir a los usuarios de teléfonos inteligentes que estén atentos al aumento de malware móvil y aplicaciones falsas.

En un anuncio de servicio público el miércoles, el Centro de Quejas por Delitos en World wide web del FBI citó datos financieros de EE. UU. Que indican un aumento del 50% en la banca móvil desde principios de año.

Con los mandatos de distanciamiento social relacionados con COVID-19 vigentes a nivel estatal, municipal y regional, muchas personas más han comenzado a realizar transacciones bancarias, como cambio de cheques y transferencias de fondos, a través de sus dispositivos móviles en los últimos meses. El 36 por ciento de los estadounidenses, de hecho, dijeron que planean usar dispositivos móviles para la banca, y el 20 por ciento dijeron que visitarán los bancos físicos con menos frecuencia, dijo el FBI, citando estudios recientes.

El PSA del FBI señaló que los troyanos basados ​​en aplicaciones y las aplicaciones bancarias falsas son dos grandes amenazas para los nuevos usuarios de la banca móvil.

Las personas que no son cautelosas acerca de dónde descargan las aplicaciones móviles podrían terminar instalando troyanos bancarios en sus teléfonos o tabletas que están diseñados para robar las credenciales de inicio de sesión de la cuenta en línea. A menudo, el malware está oculto o disfrazado de aplicaciones legítimas, como juegos y herramientas de productividad.

«Cuando el usuario lanza una aplicación bancaria legítima, activa el troyano descargado previamente que ha estado inactivo en su dispositivo», dijo el FBI dijo.

El malware crea una versión casi idéntica de la página de inicio de sesión del banco y la superpone en la parte exceptional de la página de inicio de sesión real para obtener los nombres de usuario y las contraseñas a medida que se ingresan. El malware a menudo dirige a los usuarios a la página de inicio de sesión real de sus bancos para que no se den cuenta de que sus datos han sido capturados, dijo el FBI.

Las aplicaciones maliciosas que se hacen pasar por aplicaciones bancarias legítimas son otro problema importante. Tales aplicaciones a menudo se ven y se comportan casi exactamente como las aplicaciones bancarias legítimas y también están diseñadas para robar las credenciales de inicio de sesión de la cuenta.

Kacey Clark, investigadora de amenazas en Electronic Shadows, dice que las aplicaciones falsas a menudo contienen permisos peligrosos y pueden acceder a información confidencial en el dispositivo o ejecutar acciones peligrosas en nombre de un usuario. Muchos tienen la capacidad de leer y escribir mensajes SMS, solicitar tokens de autenticación, leer listas de contactos, capturar fotos e incluso agregar o eliminar cuentas.

«Cuando los ciberdelincuentes crean aplicaciones falsas para engañar a los usuarios, comúnmente usarán imágenes de marca exactas y una descripción comparable a la aplicación legítima», dice ella. Los usuarios que desean comenzar a usar la aplicación a menudo pueden pasar por alto detalles importantes como el nombre del desarrollador o los permisos que la aplicación podría solicitar.

Riesgos aumentados
El riesgo de descargar aplicaciones móviles maliciosas es especialmente alto en las tiendas de aplicaciones de terceros no oficiales, pero incluso las tiendas legítimas no son totalmente inmunes.

«Si bien las tiendas de aplicaciones públicas oficiales implementan procesos de verificación estrictos para validar la legitimidad de sus aplicaciones móviles, se ha observado que los ciberdelincuentes intentan eludir estos controles», dice Clark. Para minimizar el riesgo, se recomienda a los usuarios que visiten el sitio website legítimo del banco y descarguen la aplicación desde allí.

El phishing móvil es otro problema de rápido crecimiento. Un estudio reciente realizado por el proveedor de seguridad Lookout mostró un aumento de casi el 67% en los encuentros de phishing móvil entre usuarios corporativos en los Estados Unidos. Muchas de las campañas se dirigieron a usuarios de banca móvil. Lookout, por ejemplo, recientemente descubrió actores de amenazas que utilizan mensajes SMS falsos para atraer a los clientes de los principales bancos estadounidenses y canadienses a sitios world wide web maliciosos diseñados para robar sus credenciales de cuenta. Entre los destinatarios se encontraban clientes de HSBC, Chase, Scotiabank y CIBC.

«Las páginas website se crearon para parecer legítimas en dispositivos móviles, con páginas de inicio de sesión que reflejaban el diseño y el tamaño de las aplicaciones de banca móvil, además de incluir enlaces como &#39seguridad y privacidad de la banca móvil&#39 o &#39activar la banca móvil&#39», dice Chris Hazelton, director de soluciones de seguridad en Lookout.

La investigación de Lookout ha demostrado que los usuarios móviles tienen tres veces más probabilidades de hacer clic en un enlace de phishing que en una computadora de escritorio, dice Hazelton.

El FBI instó a los usuarios móviles, en entornos personales y laborales, a que solo obtengan sus aplicaciones bancarias y de otro tipo de fuentes de aplicaciones confiables o de las tiendas de aplicaciones móviles de sus propias empresas. También instó a las personas a usar contraseñas seguras y habilitar la autenticación de dos factores (2FA) cuando esté disponible.

Cuando use 2FA para aplicaciones móviles, evite usar SMS, dice Hazelton. «Si su dispositivo ya tiene instalado un computer software de vigilancia, los actores maliciosos pueden capturar tokens de autenticación multifactor», dice.

Según el FBI, las personas deberían considerar el uso de mecanismos fuertes de 2FA cuando sea posible a través de datos biométricos, aplicaciones de autenticación o tokens de hardware.

Contenido relacionado:

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para ese «día realmente malo» en ciberseguridad. Haga clic para más información y para registrarse.

Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más thoughts





Enlace a la noticia first