Empresa en bancarrota por Cyberheist Sues Bank – Krebs on Security

Una firma de depósito en garantía de California que se vio obligada a cerrar el año pasado después de un robo cibernético de $ 1.5 millones ahora está demandando a su antiguo banco para recuperar los fondos perdidos.

casholeSíndico designado por el estado para la ya desaparecida Huntington Beach, California. Fideicomiso de servicios eficientes ha presentado una demanda contra Banco Primera Fundaciónalegando que los procedimientos de seguridad del banco no estaban a la altura y que no actuó de buena fe cuando procesó tres transferencias electrónicas internacionales fraudulentas por un total de $1,558,439 entre diciembre de 2012 y febrero de 2013.

La demanda, presentada en el Tribunal Superior del Condado de Orange, es la última de una serie de batallas legales sobre si los bancos pueden y deben hacerse más responsables por las pérdidas derivadas de las adquisiciones de cuentas. En los Estados Unidos, los consumidores tienen poca o ninguna responsabilidad si una infección de computadora de un troyano bancario conduce al vaciado de sus cuentas bancarias, siempre que las víctimas alerten a su banco de manera oportuna. Sin embargo, las empresas de todos los tamaños no disfrutan de tal protección, y muchos propietarios de pequeñas empresas desconocen sorprendentemente los riesgos de la banca en línea.

Como escribí en una historia de agosto de 2013, el atraco comenzó en diciembre de 2012 con una transferencia electrónica fraudulenta de $432,215 enviada desde las cuentas de Huntington Beach, California. Grupo de custodia de servicios eficientes a un banco en Moscú. En enero, los atacantes atacaron de nuevo y enviaron dos transferencias fraudulentas por un total de $1.1 millones a cuentas en el Provincia de Heilongjiang de China, una región del norte de China en la frontera con Rusia.

Esta misma provincia fue objeto de una alerta del FBI en 2011 sobre actividad de robo cibernético. El FBI advirtió que los ladrones cibernéticos habían robado solo el año anterior aproximadamente $ 20 millones de pequeñas y medianas empresas a través de transferencias bancarias fraudulentas enviadas a empresas económicas y comerciales chinas.

Efficient Services y su banco pudieron recuperar la transferencia a Rusia, pero las dos transferencias a China por un total de 1,1 millones de dólares ya no existían. Según la ley de California, las compañías de depósito en garantía y títulos deben informar de inmediato cualquier pérdida de fondos. Cuando Efficient informó el incidente a los reguladores estatales, el Departamento de Corporaciones de California le dio a la empresa tres días para reunir dinero para reemplazar los fondos robados.

Tres días después, cuando Efficient no estaba más cerca de recuperar los fondos, el estado intervino y cerró la empresa. Como resultado, Efficient se vio obligada a despedir a toda su plantilla de nueve empleados.

El 6 de diciembre, el abogado designado para ser el síndico de Efficient demandó a First Foundation en un intento por recuperar los $1.1 millones pendientes en nombre de los antiguos clientes de la firma. La demanda alega que los procedimientos de seguridad del banco no fueron “comercialmente razonables” y que el banco no actuó de “buena fe” cuando procesó transferencias electrónicas internacionales en nombre de la empresa de plica.

Como la mayoría de los estados de EE. UU., California ha adoptado la Codigo comercial Uniforme (UCC), que sostiene que una orden de pago recibida por el [bank] es “eficaz como la orden del cliente, esté o no autorizadosi el procedimiento de seguridad es un método comercialmente razonable de proporcionar seguridad contra órdenes de pago no autorizadas, y el banco prueba que aceptado la orden de pago de buena fe y de conformidad con el procedimiento de seguridad y cualquier acuerdo escrito o instrucción del cliente que restrinja la aceptación de órdenes de pago emitidas a nombre del cliente.”

Como lo demuestran las docenas de historias de mi serie Target: Small Businesses, las empresas no disfrutan de las mismas protecciones que los consumidores cuando realizan operaciones bancarias en línea. Si una infección de troyano bancario hace que los ladrones cibernéticos vacíen las cuentas bancarias de una pequeña empresa, esa organización está esencialmente a merced de su institución financiera, que muy a menudo en estas situaciones niega cualquier responsabilidad por la violación y, de hecho, puede obstruir a la víctima. empresa como resultado. Eso puede dejar a las organizaciones víctimas en un dilema: pueden tragarse su orgullo y atribuirlo a una experiencia de aprendizaje, u optar por demandar al banco para recuperar sus pérdidas. Por supuesto, demandar a su banco puede tener un costo prohibitivo a menos que la pérdida sea significativamente mayor que la cantidad que la víctima podría esperar gastar contratando abogados para continuar con el caso en el largo camino hacia un acuerdo o juicio.

Los demandantes en este caso alegan que parte de la razón por la que los procedimientos de seguridad del banco no eran comercialmente razonables era que un componente de la protección de seguridad central del banco: el requisito de que los clientes ingresen un código generado por un token de seguridad proporcionado por el cliente que cambia cada 32 segundos. — había fallado en los días previos a las transferencias fraudulentas. Yo diría que los tokens de seguridad son un mero bache de velocidad de seguridad cuya eficacia los ciberladrones de hoy eluden fácilmente. Pero en cualquier caso, esta demanda afirma que, en lugar de abordar esa falla, el banco simplemente optó por deshabilitar esta función para Efficient Services.

First Foundation no devolvió las llamadas en busca de comentarios. Pero el banco produjo un informe de incidente que ahora es de dominio público, gracias a esta demanda (consulte la sección «Anexo J» de este documento de caso en PDF). El documento establece que la empresa había realizado anteriormente transferencias electrónicas internacionales, por lo que no vio nada inusual en las transferencias de medio millón de dólares a China. Sin embargo, según los demandantes, Efficient Escrow simplemente había investigado sobre la posibilidad de transferencias electrónicas internacionales, pero en realidad no había realizado transferencias electrónicas fuera de los Estados Unidos anteriormente.

El informe de incidentes de First Foundation también parece sugerir que el banco llegó rápidamente a la conclusión de que el fraude fue el resultado de fechorías por parte del controlador de Efficient, Julie Gardner, y no el resultado de un robo cibernético.

“El historial de transacciones y sesiones de la Sra. Gardner sugiere la posibilidad de un fraude interno”, se lee en el informe del banco. «EM. El empleo de Gardner con ESE terminó por razones desconocidas para FFB. Su acceso desde Business Online fue eliminado el 20 de febrero de 2013”.

julie rogers es un abogado con la Grupo Legal Dincel, que está trabajando con los demandantes en este caso. En una entrevista con KrebsOnSecurity, Rogers dijo que si el banco analizara sus procesos con honestidad, le habría preguntado al cliente antes de procesar la transferencia internacional. Rogers señaló que el informe del incidente del banco también tuvo repercusiones que se extendieron más allá del procesamiento erróneo de varias transferencias bancarias internacionales fraudulentas.

“Nombrar a un empleado específico y decir: ‘No creemos que esto haya sido piratería cibernética en absoluto’, eso es bastante atroz, y no puedes dejar de tocar esa campana”, dijo Rogers, citando la dificultad que algunos ex empleados de ESE ha tenido que tratar de encontrar un nuevo trabajo en la industria.

“Cuando sugieres eso, haces algún daño, no solo a esa persona sino también a las personas asociadas con esa persona”, dijo Rogers. “Esa conducta se extiende más allá del procesamiento de una transferencia bancaria. Se derrama en un área que no está cubierta por la UCC. Algunos de los agentes de custodia individuales [formerly employed by ESE] han tratado de obtener trabajo en otras empresas, pero los dos operadores y propietarios de la empresa han sido sujetos a la revocación y suspensión de la licencia que les impide operar un negocio similar durante cinco años antes de que puedan volver a presentar una solicitud”.

Rogers dijo que hay un punto más importante en estas demandas: “Estas instituciones bancarias están diciendo: ‘Le daremos protección las 24 horas del día, los 7 días de la semana para realizar operaciones bancarias en línea, que es segura, eficiente y asequible’. Pero mientras tanto, sus presupuestos se están recortando. Los responsables del fraude están siendo despedidos. Y, sin embargo, el público se está involucrando cada vez más en la banca cibernética”.

No hay duda de que Efficient Escrow debería haber detectado estas transferencias fraudulentas mucho antes de lo que lo hicieron. El punto de mi enfoque en estos casos es crear conciencia sobre la necesidad de que las empresas tomen medidas para evitar convertirse en víctimas en primer lugar. Si tiene una pequeña empresa y realiza operaciones bancarias en línea, considere adoptar algunas medidas de seguridad para evitar que su empresa sea la próxima víctima de un robo cibernético. Bancario de un CD en vivo o desde una computadora aislada (preferiblemente sin Windows) es la forma más segura de evitar atracos de banca electrónica. Sin embargo, este enfoque solo funciona si se observa constantemente.

La pequeña empresa promedio generalmente tiene una persona a cargo de los libros, y tienen suerte si tienen una persona a cargo de la seguridad; muy a menudo, es el CEO quien se desempeña como CTO, CFO, CSO y EIEIO. Estos ataques lanzados por los ladrones cibernéticos de hoy en día contra las pequeñas empresas son cualquier cosa menos una lucha justa: es básicamente una mujer de pelo azul contra todo un escuadrón de delincuentes experimentados.

he estado escribiendo sobre esto problema desde hace más de cinco años, y por una buena razón: hay millones de propietarios de pequeñas empresas que no tienen ni idea de cuán vulnerables son y contra quién se enfrentan. Viajo bastante para hablar a audiencias de todo el mundo sobre el delito cibernético y, con frecuencia, me encuentro sentado junto a propietarios de pequeñas empresas. Siempre pregunto lo mismo y siempre obtengo la misma respuesta. ¿Realiza operaciones bancarias en línea con su empresa? Por qué, seguro. ¿Sabía que si tiene una infección de virus que limpia su cuenta bancaria, su banco no tiene la obligación de hacer nada en su nombre?

Seguiré escribiendo sobre este tema, principalmente porque la conciencia sigue siendo baja y seguirá habiendo nuevas víctimas cada semana que perderán cientos de miles de dólares como resultado de estos robos cibernéticos. Mientras tanto, los ladrones responsables están mejorando su juego. De acuerdo a gary warnercofundador y tecnólogo jefe de la firma de inteligencia de amenazas Malcovery (divulgación completa: Malcovery es un anunciante en este blog), el último malware cibernético implementado por el Red de bots Asprox (PDF) utiliza la ubicación de geo-IP para incluir el nombre de la ciudad natal de la posible víctima en el archivo malicioso que se descarga cuando el usuario hace clic en un enlace.

“Lo codifica geográficamente y pone el nombre de su ciudad en el nombre del archivo, y la detección antivirus de estas variantes sigue siendo muy baja”, dijo Warner. “Hemos visto esto con el spam de malware Asprox disfrazado de documentos judiciales, boletos de avión y [spoofed emails made to look like they came] de Wal-Mart, Costco y BestBuy”.

Supongo que se podría decir que también se ha vuelto un poco personal. uno de los mas versiones recientes de Asprox empuja el malware que incluye la URL de este blogasí como un descriptor de archivo que dice «Sistemas Krebs».

Se encuentra disponible copia de la denuncia interpuesta por el síndico de Efficient Services aquí (PDF).

Deja un comentario