Cómo $ 100 millones en reclamos de desempleo fueron a parar a los reclusos – Krebs on Stability


El inspector general del Departamento de Trabajo de EE. UU. Dijo esta semana que en 2020 se pagaron aproximadamente $ 100 millones en reclamos fraudulentos de seguro de desempleo a delincuentes que ya están en la cárcel. Esa es una pequeña parte de las decenas de miles de millones de dólares estimados en beneficios por desempleo que los estados han otorgado a los ladrones de identidad el año pasado. Para ayudar a revertir esa tendencia, muchos estados ahora están recurriendo a una empresa privada poco conocida llamada ID.me. Esta publicación examina algo de lo que esa empresa está viendo en sus esfuerzos por frenar el fraude por desempleo.

Estos prisioneros intentaron solicitar prestaciones por desempleo. Se ha redactado la información private de las identificaciones de los reclusos. Imagen: ID.me

Un nuevo reporte (PDF) de la Oficina del Inspector Normal (OIG) del Departamento de Trabajo encontró que desde marzo hasta octubre de 2020, alrededor de $ 3.5 mil millones en beneficios fraudulentos por desempleo, casi dos tercios de las reclamaciones falsas que revisó, se pagaron a personas con Seguro Social. números archivados en varios estados. Casi $ 100 millones se destinaron a más de 13.000 personas no elegibles que se encuentran actualmente en prisión.

La OIG reconoce que es possible que las pérdidas totales de todos los estados sean de decenas de miles de millones de dólares. De hecho, solo un estado, California, reveló el mes pasado que los piratas informáticos, los ladrones de identidad y las redes criminales en el extranjero robaron más de $ 11 mil millones en beneficios por desempleo del estado el año pasado. Eso es aproximadamente el 10 por ciento de todas las reclamaciones.

Ley Bloomberg informes que en respuesta a una avalancha de reclamos de desempleo que explotan la falta de intercambio de información entre los estados, el Departamento de Trabajo instó a los estados a utilizar un centro financiado con fondos federales diseñado para compartir datos de solicitantes y detectar reclamos fraudulentos presentados en más de un estado. Pero como señala el informe de la OIG, la participación en el centro es voluntaria y, hasta ahora, solo 32 de las 54 agencias de mano de obra estatales o territoriales en los EE. UU. Lo están utilizando.

Gran parte de este fraude explota los métodos de autenticación débiles utilizados por los estados que durante mucho tiempo han buscado verificar a los solicitantes utilizando información estática y ampliamente disponible, como números de seguro social y cumpleaños. Muchos estados también carecían de la capacidad de saber cuándo se iban a realizar varios pagos a las mismas cuentas bancarias.

Para empeorar las cosas, a medida que la pandemia de Coronavirus se apoderó de varios estados, redujeron drásticamente la cantidad de información requerida para solicitar con éxito una solicitud de beneficios por desempleo.

77.000 NUEVOS USUARIOS (AB) CADA DÍA

En respuesta, 15 estados se han aliado con ID.me, con sede en McLean, Virginia, para apuntalar sus esfuerzos de autenticación, con seis estados más bajo contrato para utilizar el servicio en los próximos meses. Ese es un golpe menor para una empresa lanzada en 2010 con el objetivo de ayudar a los sitios de comercio electrónico a validar las identidades de los clientes con el fin de otorgando descuentos para veteranos, maestros, estudiantes, enfermeras y socorristas.

ID.me dice que ahora tiene más de 36 millones de personas registradas para obtener cuentas, con aproximadamente 77.000 nuevos usuarios registrándose cada día. Naturalmente, una gran parte de ese crecimiento proviene de personas desempleadas que buscan prestaciones por desempleo.

Para detectar a los estafadores, ID.me requiere que los solicitantes proporcionen mucha más información que la solicitada previamente por los estados, como imágenes de su licencia de conducir u otra identificación emitida por el gobierno, copias de facturas de servicios públicos o seguros y detalles sobre su teléfono móvil. servicio telefónico.

Cuando un solicitante no tiene uno o más de los anteriores, o si algo en su solicitud activa posibles indicadores de fraude, ID.me puede requerir un chat de video en vivo grabado con la persona que solicita los beneficios.

Esto ha llevado a algunos intentos bastante divertidos de eludir sus procesos de verificación, dijo el fundador y CEO de ID.me Blake Hall. Por ejemplo, no es raro que los solicitantes que aparecen en el chat de video de la empresa se disfrazen. La máscara de Halloween usada por el solicitante que se muestra a continuación es solo un ejemplo.

Imagen: ID.me

Corridor dijo que el servicio de la compañía está bloqueando una cantidad significativa de fraude «de primera parte» (alguien que usa su propia identidad para presentar una declaración en varios estados donde no es elegible), así como el fraude de «terceros», donde se engaña a las personas para que den datos de identidad que los ladrones utilizan para solicitar beneficios.

«Hay literalmente todas las formas de ataque, desde los estados nacionales y el crimen organizado hasta los prisioneros», dijo Corridor. “Es como el Día D del fraude, estamos en la playa de Omaha en este momento. La cantidad de fraudes que estamos combatiendo es realmente asombrosa «.

Según ID.me, uno de los principales impulsores de las solicitudes falsas de desempleo proviene de la ingeniería social, donde las personas han regalado datos personales en respuesta a estafas románticas o de sorteos, o después de solicitar lo que pensaban que era un trabajo legítimo desde casa.

«Mucho de esto está dirigido a los ancianos», dijo Corridor. «Hemos visto (videos) de personas en hogares de ancianos, donde personas fuera de cámara hablan por ellos y sostienen documentos».

«Tuvimos un online video en el que la persona que postulaba dijo: &#39Estoy aquí por el premio en metálico&#39», continuó Hall. “Otra víctima anciana comenzó a llorar cuando se dio cuenta de que no estaba consiguiendo un trabajo y fue víctima de una estafa laboral. Sin embargo, en general, la estafa laboral golpea más a los jóvenes y el romance y el dinero de los premios golpea más a las personas mayores «.

Muchas otras reclamaciones falsas son presentadas por personas que han sido abordadas por estafadores prometiéndoles una parte de cualquier reclamación de desempleo otorgada a su nombre.

“A esa persona se le dice que simplemente afirme que le robaron su identidad cuando y si alguna vez aparece la policía”, dijo Corridor.

REACCIONES DEL SUBTERRANEO

Los estafadores involucrados en la presentación de solicitudes de beneficios por desempleo definitivamente se han dado cuenta de los esfuerzos de ID.me. Poco después de que la compañía comenzara a trabajar con California en diciembre de 2020, ID.me sufrió una serie de ataques de denegación de servicio (DDoS) destinados a desconectar el servicio.

“Hemos bloqueado al menos cinco ataques DDoS sostenidos a gran escala que se originaron en Nigeria y que intentaron interrumpir nuestro servicio porque estamos bloqueando su fraude”, dijo Hall.

En mayo de 2020, KrebsOnSecurity examinó las publicaciones en varios canales de chat de Telegram dedicados a vender servicios que ayudan a las personas a solicitar de manera fraudulenta beneficios por desempleo. En estos días, algunas de las publicaciones más frecuentes en esos canales anuncian la venta de varios «métodos» o consejos sobre cómo evitar las protecciones de ID.me.

Menciones de id.me en foros de ciberdelincuencia, canales de Telegram a lo largo de 2020. Fuente: Flashpoint-intel.com

Cuando se le preguntó acerca de la eficacia de esos métodos, Corridor dijo que si bien su servicio no puede detener todas las solicitudes falsas de desempleo, puede garantizar que un solo estafador solo pueda presentar una solicitud fraudulenta.

«Yo diría que en este espacio no se trata de ser perfecto, sino de ser mejor», dijo.

Eso es una subestimación en una era en la que poder limitar a cada estafador a un solo reclamo fraudulento puede considerarse un progreso. Pero Corridor dice que una de las razones por las que estamos en este lío es que los estados han confiado durante demasiado tiempo en firmas de corredores de datos que venden servicios de autenticación basados ​​en datos estáticos que son demasiado fáciles de robar, comprar o engañar a las personas para que los estafadores den lejos.

«Ha habido un cambio real en el mercado de la verificación de identidad centrada en datos a la verificación a través de algo que tienes y algo que eres, como un teléfono, una cara o una identificación», dijo. “Y esos no están en la procedencia de los operadores tradicionales, los corredores centrados en datos. Cuando ha habido tantas violaciones de datos que la pasta de dientes está básicamente fuera del tubo, se necesita una plataforma de orquestación completa «.

¿UNA MEJOR MOUSETRAP?

Recopilar y almacenar tanta información private sobre decenas de millones de estadounidenses puede convertirlo en un objetivo atractivo para los piratas informáticos y los ladrones de identidad. Hall dice que ID.me está certificado contra Pautas de identidad electronic NIST 800-63-3, emplea múltiples capas de seguridad y segrega por completo los datos estáticos del consumidor vinculados a una identidad validada de un token utilizado para representar esa identidad.

“Adoptamos un enfoque de defensa en profundidad, con redes particionadas, y utilizamos un esquema de cifrado muy sofisticado para que, cuando se produzca una infracción, este product esté protegido por un cortafuegos”, dijo. “Tendría que comprometer los tokens a escala y no solo la base de datos. Encriptamos todo eso hasta el nivel de archivo con claves que rotan y caducan cada 24 horas. Y una vez que lo hayamos verificado, no necesitamos esos datos sobre usted de manera continua «.

Con un porcentaje tan alto de solicitudes de desempleo que ahora están siendo presentadas por ladrones de identidad, muchos estados han instituido nuevos filtros de fraude que terminaron rechazando o demorando millones de solicitudes legítimas.

Jim Patterson, un asambleísta republicano de California, celebró una conferencia de prensa en diciembre acusando que el sistema de ID.me «continuamente falla y rechaza formas legítimas de identificación, lo que obliga a los solicitantes a pasar por el proceso de verificación manual que lleva meses».

ID.me dice que aproximadamente ocho usuarios pasarán por su flujo de autoservicio automatizado por cada usuario que necesite usar el método de chat de movie para verificar su identidad.

“La mayoría de los reclamantes legítimos pasan nuestro proceso automático de verificación de identidad de autoservicio en menos de cinco minutos”, dijo Corridor. «Para las personas que no superan este proceso, somos la única empresa en los Estados Unidos que ofrece un método seguro de verificación de identidad basado en chat de video clip para garantizar que todos los usuarios puedan probar su identidad en línea».

Corridor dice que su empresa también supera el estándar de la industria en términos de validar las identidades de personas con poco o ningún historial crediticio.

«Si solo confía en las agencias de crédito o los corredores de datos para esto, significa que cualquiera que no tenga un historial crediticio no lo logrará», dijo. «Y eso tiende a tener un efecto desproporcionado en aquellos que tienen más probabilidades de ser menos ricos, como las comunidades minoritarias».


Etiquetas: Blake Hall, id.me, Jim Patterson, Departamento de Trabajo

Esta entrada se publicó el jueves 25 de febrero de 2021 a las 5:26 pm y está archivada en A Minor Sunshine, Ne&#39er-Do-Properly Information, World wide web Fraud 2..
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2..

Puede saltar hasta el ultimate y dejar un comentario. Pinging no está permitido actualmente.



Enlace a la noticia authentic