Cómo funciona, cómo defenderse – Krebs on Safety


Una de las formas más comunes en que los ciberdelincuentes retiran el acceso a las cuentas bancarias consiste en drenar los fondos de la víctima a través de celda, un servicio de pago «peer-to-peer» (P2P) utilizado por muchas instituciones financieras que permite a los clientes enviar dinero rápidamente a amigos y familiares. Naturalmente, una gran cantidad de esquemas de phishing que preceden a estas adquisiciones de cuentas bancarias comienzan con un mensaje de texto falso del banco del objetivo advirtiendo sobre una transferencia sospechosa de Zelle. Lo que sigue es un análisis profundo de cómo funciona normalmente esta estafa de fraude de Zelle cada vez más inteligente y qué pueden hacer las víctimas al respecto.

La historia de la semana pasada advirtió que los estafadores están enviando mensajes de texto sobre transferencias bancarias sospechosas como pretexto para llamar de inmediato y estafar a cualquiera que responda por mensaje de texto. Así es como se ve uno de esos mensajes fraudulentos:

Cualquiera que responda «sí», «no» o en absoluto, muy pronto recibirá una llamada telefónica de un estafador que pretende ser del departamento de fraude de la institución financiera. El número de la persona que llama se falsificará para que parezca provenir del banco de la víctima.

Para «verificar la identidad» del cliente, el estafador solicita su nombre de usuario de banca en línea y luego le dice al cliente que vuelva a leer un código de acceso enviado por mensaje de texto o correo electrónico. En realidad, el estafador inicia una transacción, como la función de «contraseña olvidada» en el sitio de la institución financiera, que es lo que genera la contraseña de autenticación entregada al miembro.

Ken Otsuka es consultor senior de riesgos en Grupo Mutual CUNA, una compañía de seguros que brinda servicios financieros a uniones de crédito. Otsuka dijo que un estafador telefónico suele decir algo como: “Antes de entrar en detalles, necesito verificar que estoy hablando con la persona adecuada. ¿Cual es tu nombre de usuario?»

“En segundo plano, están usando el nombre de usuario con la función de contraseña olvidada, y eso generará una de estas contraseñas de autenticación de dos factores”, dijo Otsuka. «Entonces el estafador dirá: ‘Te voy a enviar la contraseña y me la volverás a leer por teléfono'».

El estafador luego united states el código para completar el proceso de restablecimiento de contraseña y luego cambia la contraseña de banca en línea de la víctima. El estafador luego usa a Zelle para transferir los fondos de la víctima a otros.

Un aspecto importante de esta estafa es que los estafadores ni siquiera necesitan saber o hacer phishing la contraseña de la víctima. Al compartir su nombre de usuario y leer el código único que se les envió por correo electrónico, la víctima permite que el estafador restablezca su contraseña de banca en línea.

Otsuka dijo que en demasiados casos de apropiación de cuentas, la víctima ni siquiera ha oído hablar de Zelle, ni se dio cuenta de que podía mover dinero de esa manera.

“La cuestión es que muchas uniones de crédito lo ofrecen de forma predeterminada como parte de la banca en línea”, dijo Otsuka. “Los miembros no tienen que solicitar el uso de Zelle. Simplemente está ahí, y con muchos miembros apuntados en estas estafas, aunque se habían inscrito legítimamente en la banca en línea, nunca antes habían usado Zelle «. [Curious if your financial institution uses Zelle? Check out their partner list here].

Otsuka dijo que las uniones de crédito que ofrecen otros productos bancarios entre pares también han sido atacadas, pero que los estafadores prefieren apuntar a Zelle debido a la velocidad de los pagos.

“Las pérdidas por fraude pueden aumentar rápidamente debido a la gran cantidad de miembros que pueden ser atacados en un solo día durante el transcurso de días consecutivos”, dijo Otsuka.

Para combatir esta estafa, Zelle introdujo la autenticación fuera de banda con detalles de la transacción. Esto implica enviar al miembro un mensaje de texto que contiene los detalles de una transferencia de Zelle (beneficiario y monto en dólares) iniciada por el miembro. El socio debe autorizar la transferencia respondiendo al texto.

Desafortunadamente, dijo Otsuka, los estafadores también están derrotando este regulate de seguridad en capas.

«Los estafadores siguen las mismas tácticas, excepto que pueden mantener a los miembros en el teléfono después de obtener su nombre de usuario y contraseña de autenticación de 2 pasos para iniciar sesión en las cuentas», dijo. «El estafador le dice al miembro que recibirá un mensaje de texto con los detalles de una transferencia de Zelle y que el miembro debe autorizar la transacción con el pretexto de que es para revertir las transacciones fraudulentas de la tarjeta de débito».

En este escenario, el defraudador ingresa una transferencia de Zelle que activa el siguiente texto para el miembro, que se le pide al miembro que autorice: Por ejemplo:

¿Enviar el pago de 200 dólares de Zelle a Boris Badenov? Responda SÍ para enviar, NO para cancelar. Cooperativa de crédito ABC. DETENER para finalizar todos los mensajes «.

“Mi equipo ha consultado con varias uniones de crédito que lanzaron Zelle o están planeando presentar Zelle”, dijo Otsuka. «Descubrimos que varias cooperativas de ahorro y crédito se vieron afectadas por la estafa el mismo mes en que la implementaron».

El resultado de todo esto es que muchas instituciones financieras afirmarán que no están obligadas a reembolsar al cliente las pérdidas financieras relacionadas con estos esquemas de phishing de voz. Bob Sullivan, un periodista veterano que escribe sobre fraudes y problemas de los consumidores, dice que en muchos casos los bancos están dando a los clientes opiniones incorrectas y egoístas después de los robos.

«Los consumidores, muchos de los cuales nunca se dieron cuenta de que tenían una cuenta Zelle, luego llaman a sus bancos, esperando que estarán cubiertos por protecciones similares a las de las tarjetas de crédito, solo para enfrentar la decepción y, en algunos casos, la ruina financiera», Sullivan escribió en una publicación reciente de Substack. “Los consumidores que sufren transacciones no autorizadas tienen derecho a la protección de la Regulación E, y los bancos están obligados a reembolsar el dinero robado. Esta no es una opinión controvertida, y fue recientemente afirmado por el CFPB aquí. Si está leyendo esta historia y está peleando con su banco, comience por proporcionar ese enlace a la institución financiera «.

«Si un delincuente inicia una transferencia de Zelle, incluso si el delincuente manipula a una víctima para que comparta sus credenciales de inicio de sesión, ese fraude está cubierto por la Regulación E, y los bancos deben restaurar los fondos robados», dijo Sullivan. «Si un consumidor inicia la transferencia con falsos pretextos, el caso de reparación es más débil».

Sullivan señala que el Oficina de Protección Financiera del Consumidor (CFPB) anunció recientemente que era realizando una sonda en empresas que operan sistemas de pago en los Estados Unidos, con un enfoque especial en plataformas que ofrecen pagos rápidos de persona a persona.

“Los consumidores esperan ciertas garantías cuando tratan con empresas que mueven su dinero”, dijo la CFPB en su aviso del 21 de octubre. “Esperan estar protegidos contra el fraude y los pagos realizados por mistake, que sus datos y privacidad estén protegidos y no se compartan sin su consentimiento, que tengan un servicio de atención al cliente receptivo y que se les trate por igual según la ley pertinente. Las órdenes buscan comprender la solidez con la que las plataformas de pago priorizan la protección del consumidor según la ley ”.

Cualquier persona interesada en informar a la CFPB sobre una estafa de fraude que abusó de una plataforma de pago P2P como Zelle, Cashapp o Venmo, por ejemplo, debe enviar un correo electrónico describiendo el incidente a BigTechPaymentsInquiry@cfpb.gov. Asegúrese de incluir el número de expediente CFPB-2021-0017 en la línea de asunto del mensaje.

Mientras tanto, recuerde el mantra: cuelgue, busque y vuelva a llamar. Si recibe una llamada de alguien que le advierte sobre un fraude, cuelgue. Si cree que la llamada podría ser legítima, busque el número de la organización que supuestamente lo está llamando y devuélvale la llamada.



Enlace a la noticia initial