Una de las formas más comunes en que los ciberdelincuentes retiran el acceso a las cuentas bancarias consiste en drenar los fondos de la víctima a través de Zelle, un servicio de pago «peer-to-peer» (P2P) utilizado por muchas instituciones financieras que permite a los clientes enviar dinero en efectivo rápidamente a amigos y familiares. Naturalmente, una gran cantidad de esquemas de phishing que preceden a estas apropiaciones de cuentas bancarias comienzan con un mensaje de texto falsificado del banco del objetivo que advierte sobre una transferencia sospechosa de Zelle. Lo que sigue es una inmersión profunda en cómo funciona típicamente esta estafa de fraude de Zelle cada vez más inteligente, y qué pueden hacer las víctimas al respecto.
La historia de la semana pasada advirtió que los estafadores están enviando mensajes de texto sobre transferencias bancarias sospechosas como pretexto para llamar de inmediato y estafar a cualquiera que responda por mensaje de texto. Así es como se ve uno de esos mensajes de estafa:
Cualquiera que responda «sí», «no» o nada, muy pronto recibirá una llamada telefónica de un estafador que finge ser del departamento de fraude de la institución financiera. El número de la persona que llama será falsificado para que parezca provenir del banco de la víctima.
Para «verificar la identidad» del cliente, el estafador solicita su nombre de usuario de banca en línea y luego le dice al cliente que lea un código de acceso enviado por mensaje de texto o correo electrónico. En realidad, el estafador inicia una transacción, como la característica de «contraseña olvidada» en el sitio de la institución financiera, que es lo que genera el código de acceso de autenticación entregado al miembro.
ken otsuka es consultor senior de riesgos en Grupo Mutual CUNA, una compañía de seguros que brinda servicios financieros a cooperativas de ahorro y crédito. Otsuka dijo que un estafador telefónico suele decir algo como: “Antes de entrar en detalles, necesito verificar que estoy hablando con la persona adecuada. ¿Cual es tu nombre de usuario?»
“En el fondo, están usando el nombre de usuario con la función de contraseña olvidada, y eso generará uno de estos códigos de acceso de autenticación de dos factores”, dijo Otsuka. “Entonces el estafador dirá: ‘Te voy a enviar la contraseña y me la vas a leer por teléfono’”.
Luego, el estafador usa el código para completar el proceso de restablecimiento de contraseña y luego cambia la contraseña de banca en línea de la víctima. El estafador luego usa Zelle para transferir los fondos de la víctima a otros.
Un aspecto importante de esta estafa es que los estafadores ni siquiera necesitan saber o phishing la contraseña de la víctima. Al compartir su nombre de usuario y leer el código único que se le envió por correo electrónico, la víctima le permite al estafador restablecer su contraseña de banca en línea.
Otsuka dijo que en demasiados casos de apropiación de cuentas, la víctima ni siquiera ha oído hablar de Zelle, ni se dio cuenta de que podía mover dinero de esa manera.
“La cuestión es que muchas cooperativas de ahorro y crédito lo ofrecen de forma predeterminada como parte de la banca en línea”, dijo Otsuka. “Los miembros no tienen que solicitar el uso de Zelle. Simplemente está ahí, y con muchos miembros que son objeto de estas estafas, aunque se habían inscrito legítimamente en la banca en línea, nunca antes habían usado Zelle”. [Curious if your financial institution uses Zelle? Check out their partner list here].
Otsuka dijo que las uniones de crédito que ofrecen otros productos bancarios entre pares también han sido atacadas, pero que los estafadores prefieren apuntar a Zelle debido a la velocidad de los pagos.
“Las pérdidas por fraude pueden escalar rápidamente debido a la gran cantidad de miembros que pueden ser atacados en un solo día en el transcurso de días consecutivos”, dijo Otsuka.
Para combatir esta estafa, Zelle introdujo la autenticación fuera de banda con los detalles de la transacción. Esto implica enviar al miembro un texto que contiene los detalles de una transferencia de Zelle (beneficiario y monto en dólares) que inicia el miembro. El miembro debe autorizar la transferencia respondiendo al texto.
Desafortunadamente, dijo Otsuka, los estafadores también están venciendo este control de seguridad en capas.
“Los estafadores siguen las mismas tácticas, excepto que pueden mantener a los miembros en el teléfono después de obtener su nombre de usuario y contraseña de autenticación de dos pasos para iniciar sesión en las cuentas”, dijo. “El estafador le dice al miembro que recibirá un mensaje de texto que contiene los detalles de una transferencia de Zelle y el miembro debe autorizar la transacción con el pretexto de que es para revertir la(s) transacción(es) fraudulenta(s) de la tarjeta de débito”.
En este escenario, el estafador en realidad ingresa una transferencia de Zelle que activa el siguiente texto para el miembro, que se le pide que autorice: Por ejemplo:
“¿Enviar un pago de $200 de Zelle a Boris Badenov? Responda SÍ para enviar, NO para cancelar. Cooperativa de Crédito ABC. PARE para terminar todos los mensajes.”
“Mi equipo ha consultado con varias cooperativas de ahorro y crédito que implementaron Zelle o planean presentar Zelle”, dijo Otsuka. “Descubrimos que varias cooperativas de ahorro y crédito fueron atacadas con la estafa el mismo mes en que la implementaron”.
El resultado de todo esto es que muchas instituciones financieras afirmarán que no están obligadas a reembolsar al cliente las pérdidas financieras relacionadas con estos esquemas de phishing de voz. bob sullivanun veterano periodista que escribe sobre fraudes y problemas de los consumidores, dice que en muchos casos los bancos dan a los clientes opiniones incorrectas y egoístas después de los robos.
“Los consumidores, muchos de los cuales nunca se dieron cuenta de que tenían una cuenta de Zelle, luego llaman a sus bancos, esperando que estén cubiertos por protecciones similares a las de las tarjetas de crédito, solo para enfrentar la decepción y, en algunos casos, la ruina financiera”, Sullivan. escribió en una publicación reciente de Substack. “Los consumidores que sufren transacciones no autorizadas tienen derecho a la protección de la Regulación E, y los bancos están obligados a reembolsar el dinero robado. Esta no es una opinión controvertida, y fue recientemente afirmado por el CFPB aquí. Si está leyendo esta historia y tiene problemas con su banco, comience proporcionando ese enlace a la institución financiera”.
“Si un delincuente inicia una transferencia de Zelle, incluso si el delincuente manipula a la víctima para que comparta las credenciales de inicio de sesión, ese fraude está cubierto por la Regulación E y los bancos deben restaurar los fondos robados”, dijo Sullivan. “Si un consumidor inicia la transferencia con falsos pretextos, el caso de reparación es más débil”.
Sullivan señala que el Oficina de Protección Financiera del Consumidor (CFPB) anunció recientemente que fue realizando una sonda en empresas que operan sistemas de pagos en los Estados Unidos, con un enfoque especial en plataformas que ofrecen pagos rápidos de persona a persona.
“Los consumidores esperan ciertas garantías cuando tratan con empresas que mueven su dinero”, dijo la CFPB en su notificación del 21 de octubre. “Esperan estar protegidos contra el fraude y los pagos realizados por error, que sus datos y su privacidad estén protegidos y no se compartan sin su consentimiento, tener un servicio de atención al cliente receptivo y ser tratados por igual según la ley pertinente. Las órdenes buscan comprender la solidez con la que las plataformas de pago priorizan la protección del consumidor bajo la ley”.
Cualquier persona interesada en informar a la CFPB sobre una estafa de fraude que abusó de una plataforma de pago P2P como Zelle, Cashapp o Venmo, por ejemplo, debe enviar un correo electrónico describiendo el incidente a [email protected]. Asegúrese de incluir el número de expediente CFPB-2021-0017 en la línea de asunto del mensaje.
Mientras tanto, recuerde el mantra: cuelgue, busque y devuelva la llamada. Si recibe una llamada de alguien advirtiendo sobre fraude, cuelgue. Si cree que la llamada puede ser legítima, busque el número de la organización que supuestamente lo está llamando y vuelva a llamar.
Relacionado:
¿Cómo consigue uno ser contratado por una de las principales bandas de ciberdelincuencia? – Krebs sobre seguridad
Microsoft advierte sobre Internet Explorer 0day – Krebs sobre seguridad
¿Qué es lo más interesante del hackeo del sistema de agua de Florida? Que escuchamos sobre eso en absoluto. – Krebs sobre seguridad
Exploit publicado para falla de Windows – Krebs sobre seguridad
