El banco demanda a la víctima de Cyberheist para recuperar fondos – Krebs on Security

Un banco que le dio a un cliente comercial un préstamo a corto plazo para cubrir $336,000 robados en un robo cibernético en 2012 ahora está demandando a ese cliente para recuperar los fondos adelantados, luego de que la empresa víctima se negara a pagar o incluso reconocer el préstamo.

robotrobkb El 9 de mayo de 2012, los delincuentes cibernéticos atacaron Wallace & Pittman LLC, un bufete de abogados con sede en Charlotte, Carolina del Norte, que se especializa en el manejo de depósitos en garantía y otros servicios legales de bienes raíces. La firma acababa de terminar un cierre de bienes raíces esa mañana, iniciando una transferencia de $386,600.61 a un banco en Virginia Beach, Virginia. Horas más tarde, los ladrones realizaron su propia transferencia bancaria fraudulenta, por exactamente $50,000 menos.

Alrededor de las 3 p. m. de ese día, el banco de la empresa, con sede en Charlotte, NC, Banco de la libra esterlina del parque (PSB)– recibió una orden de transferencia bancaria de la firma de abogados por $336,600.61. Según el banco, la solicitud se envió utilizando el nombre de usuario, la contraseña, el código PIN y las preguntas de desafío/respuesta legítimos de la empresa. PSB procesó la transferencia bancaria, que se envió a un banco intermediario: JPMorgan Chase en la ciudad de Nueva York, antes de ser enviado a un banco en Moscú.

Más tarde ese día, después de que el bufete de abogados recibiera una confirmación electrónica de la transferencia electrónica, la empresa llamó al banco para decir que la transferencia no estaba autorizada y que se había producido una intrusión electrónica en las computadoras de la empresa que resultó en la instalación de un dispositivo no especificado. cepa de malware de registro de pulsaciones de teclas. El bufete de abogados cree que el malware se incrustó en un correo electrónico de phishing que parecía haber sido enviado por el Asociación Nacional de Cámaras de Compensación Automatizadas (NACHA), una red legítima para una amplia variedad de transacciones financieras en los Estados Unidos.

Como hacen algunos bancos en tales casos, Park Sterling otorgó un crédito provisional a la empresa por el monto de la transferencia fraudulenta para evitar un sobregiro de su cuenta fiduciaria (dinero que tenía para un cliente de bienes raíces) y permitir un período de tiempo para la posible devolución de los fondos de la transferencia bancaria. PSB dijo que informó a Wallace & Pittman que el crédito tendría que ser reembolsado a finales de ese mes.

Pero el 30 de mayo de 2012, el día antes de que el banco debitara el monto del préstamo de la cuenta fiduciaria de la empresa, Wallace & Pittman presentó una demanda contra el banco en la corte y obtuvo una orden de restricción temporal que impedía que el banco debitara cualquier dinero de sus cuentas. Al mes siguiente, el bufete de abogados vació todos los fondos de sus tres cuentas en el banco y se desestimó la demanda contra el banco.

Park Sterling Bank ahora está demandando a su antiguo cliente, buscando el reembolso del préstamo, más los intereses. Wallace & Pittman se negó a comentar sobre el litigio en curso, pero en su respuesta a los reclamos de PSB, los demandados afirman que en ningún momento antes de la devolución de los fondos el banco especificó que estaba otorgando un crédito provisional por el monto de los pagos fraudulentos. transferir. Wallace & Pittman dijo que el banco no comenzó a llamarlo crédito provisional hasta casi 10 días después de acreditar la cuenta de la firma de abogados; para respaldar su reclamo, la empresa produjo una transacción de libro mayor en línea que pretende demostrar que el retorno de $336,600.61 a las cuentas de la empresa se clasificó inicialmente como una «entrada de transferencia anterior inversa».

Pero más allá de eso, Wallace & Pittman argumenta que los reclamos del banco están prohibidos por no mantener medidas de seguridad comercialmente razonables para sus servicios bancarios en línea. El bufete de abogados dice que la transferencia electrónica fraudulenta no provino de una dirección IP asociada con la firma, y ​​que nunca antes había iniciado una transferencia bancaria a Rusia o a cualquier otro lugar fuera de los Estados Unidos.

“El banco estaba al tanto o debería haber cuestionado la legitimidad de una transferencia bancaria internacional” y “estaba al tanto o debería haber estado al tanto de varios esquemas que involucraban transferencias de fondos fraudulentas, particularmente aquellos que involucraban a partes ubicadas en Rusia”, argumentó la firma.

Wallace & Pittman afirman que los procedimientos de autenticación del banco se reducen a poco más que una serie de contraseñas. Según el bufete de abogados, el proceso de autenticación de su cuenta PSB implicó simplemente ingresar un nombre de usuario y contraseña de la cuenta. Para mover dinero mediante transferencia bancaria, los clientes de FSB deben ingresar una identificación bancaria en línea y un «código de transferencia» estático de 4 dígitos. Después de enviar la solicitud de transferencia bancaria, el sistema genera dos «preguntas de seguridad». Wallace & Pittman dijo que estas dos preguntas de seguridad nunca cambiaron, y que las respuestas a ambas preguntas fueron preprogramadas por el banco con la misma palabra común e intuitiva de cuatro letras.

dan mitchellun abogado del bufete de abogados de bernstein shur en Portland, Me., dijo que si PSB de hecho se basó solo en ID de usuario, contraseñas estáticas y preguntas de seguridad estáticas, puede ser difícil para ellos argumentar que estos eran procedimientos de seguridad comercialmente razonables en el momento del robo en 2012. Por otro lado, si como alega el banco (que el bufete de abogados rechazó la sugerencia del banco de usar «controles duales» o requerir que dos personas verifiquen y firmen todas las transferencias de dinero), el banco puede tener una defensa bajo el Código Comercial Uniforme (UCC), Sección 202(c) del Artículo 4A.

“Esto permite que un banco transfiera el riesgo de pérdida a un cliente si se le ofreció, pero rechazó, un procedimiento de seguridad que habría sido comercialmente razonable (esto presupone que el control dual es un procedimiento comercialmente razonable”, dijo Mitchell, un abogado que representó a la empresa de construcción de Maine, Patco, en su exitosa demanda contra su banco luego de un robo cibernético de $ 588,000 en mayo de 2009.

Este escenario es el mismo que se desarrolló en el caso Choice Escrow que fue decidido por un tribunal de distrito federal en Missouri el 18 de marzo.el de este año. Sin embargo, en su respuesta a la demanda del banco, Wallace & Sterling niega que se le haya ofrecido y rechaza la opción de doble control.

Mitchell dijo que la otra variable interesante en este caso es que la cuenta en cuestión era una cuenta fiduciaria; en otras palabras, no era el dinero del cliente, sino que el cliente lo tenía y administraba para otros, en transacciones de bienes raíces.

“Aparentemente, el banco sabía esto, pero aun así planeaba debitar la cuenta del cliente y dejar al cliente enganchado”, dijo Mitchell. “Ese fue un movimiento bastante agresivo por parte del banco, probablemente demasiado agresivo dados los hechos”.

Desafortunadamente, los robos cibernéticos golpean nuevos negocios cada semana. Estos ataques son inminentemente prevenibles, pero bloquear a los malos responsables de estos ataques requiere conciencia, vigilancia y previsión. Si tiene una pequeña empresa y administra las cuentas de su empresa en línea, tómese un momento para leer mi lista de mejores prácticas aquí: Mejores prácticas de banca en línea para empresas.

La denuncia presentada por Park Sterling Bank está aquí (PDF). Una copia de la respuesta de Wallace & Pittman está en este enlace (PDF).

¿Que te ha parecido?

Deja un comentario