La confianza ciega en el correo electrónico podría costarle su hogar – Krebs on Security

El proceso de compra o venta de una casa puede ser extremadamente estresante y complejo, pero imagínese el estrés que surgiría si, en el momento del cierre, su dinero se transfiriera a estafadores en otro país en lugar de a la empresa de liquidación o a la compañía de depósito en garantía. Aquí está la historia sobre un correo electrónico de phishing que le costó a una pareja su casa y los dejó luchando durante meses para recuperar cientos de miles en efectivo que se perdieron.

Era finales de noviembre de 2016 y Jon y Dorothy Little estaban listos para cerrar una casa de $200,000 en Hendersonville, Carolina del Norte. Justo antes de la fecha de cierre el 2 de diciembre, su agente de bienes raíces envió un correo electrónico a Little’s y al bufete de abogados que manejaba el cierre, pidiéndoles instrucciones a la firma de liquidación para transferir el dinero a una cuenta de depósito en garantía.

Las instrucciones electrónicas fraudulentas aparentemente enviadas por los piratas informáticos a través del bufete de abogados de liquidación.

Las instrucciones electrónicas fraudulentas aparentemente enviadas por los piratas informáticos a través del bufete de abogados de liquidación.

Un abogado de la firma de cierre respondió con las instrucciones de transferencia según lo solicitado, adjuntando un documento que tenía el logotipo de la firma de abogados y cierta información de la cuenta bancaria que se representaba como el número de cuenta del vendedor. El agente inmobiliario de Little’s envió el telegrama el jueves por la mañana, el día antes del cierre.

“Fuimos a cerrar a la 1 pm el viernes, y después de firmar todos los papeles, les preguntamos a los abogados si íbamos a recuperar el dinero extra que les habíamos enviado, porque no nos habían podido dar una fecha exacta. cantidad en las instrucciones de cableado. En ese momento nos dijeron que nunca habían recibido el dinero”.

Después de un cierto desacuerdo, ambas partes legítimas de la transacción acordaron que los estafadores habían pirateado el correo electrónico de alguien y que se utilizó para desviar los fondos transferidos a una cuenta controlada por los delincuentes. Los piratas informáticos habían falsificado una copia del membrete del bufete de abogados y, debajo, colocaron la información de su propia cuenta de Bank of America (vea la captura de pantalla anterior).

El propietario de la cuenta de Bank of America parece haber sido un cómplice voluntario o involuntario, también conocido como «mula de dinero», reclutado a través de esquemas de trabajo en el hogar para recibir y reenviar fondos robados de cuentas comerciales pirateadas. En este caso, la mula del dinero transfirió todo menos el 10 por ciento del dinero (una comisión típica de la mula del dinero) a una cuenta en TD Bank.

Afortunadamente para los Little, el FBI logró congelar la transferencia electrónica resultante de $180,000 una vez que llegó a la cuenta de TD Bank. Sin embargo, los esfuerzos para recuperar los fondos robados se vieron frustrados de inmediato cuando la cooperativa de ahorro y crédito de los Littles se negó a otorgarle al Bank of America el llamado acuerdo de «exención de responsabilidad» que el banco más grande quería como garantía legal antes de acceder a ayudar.

Charisse Castagnoliprofesor adjunto de derecho en la Facultad de Derecho John Marshall, dijo que los bancos tienen el deber fiduciario con sus clientes de cumplir con sus solicitudes de buena fe y, como tal, tienden a estar muy nerviosos legalmente acerca de coludirse con otro banco para revertir las instrucciones de pago de uno de sus propios clientes. El acuerdo de «exención de responsabilidad» generalmente lo busca el banco que recibió una transferencia bancaria fraudulenta, dijo Castagnoli, y requiere que el banco respondedor asuma toda responsabilidad por los costos en los que el banco solicitante pueda incurrir más adelante si el propietario de la cuenta que recibió la transferencia fraudulenta decide disputar la reversión del pago.

“Cuando se trata de casos de fraude electrónico, los bancos tienen que moverse muy rápido porque una vez que las transferencias salen de los EE. UU. a bancos extranjeros, el dinero suele desaparecer”, dijo Castagnoli. “El receptor o el cesionario por lo general insiste en un acuerdo de exención de responsabilidad porque está moviendo el dinero en nombre de su propio titular de la cuenta, algo que va en contra de su propio cliente, lo cual es un gran ‘no-no’ cuando eres un fiduciario. ”

Pero en este caso, la cooperativa de ahorro y crédito en la que los Little habían invertido prácticamente todo su dinero durante más de 40 años decidió que no podía, de buena fe, establecer que el acuerdo quedara indemne, porque hacerlo estipularía que la cooperativa de ahorro y crédito afirma a la víctima ( los Littles) no habían iniciado voluntariamente y a sabiendas el cable, cuando en realidad lo habían hecho.

“Hablé con el departamento de transferencias varias veces”, dijo Little sobre la gente de su institución financiera, con sede en Atlanta, Georgia. Cooperativa de crédito comunitaria Delta (DCCU). “Finalmente me comunicaron con el vicepresidente de prevención de pérdidas de la cooperativa de ahorro y crédito. No estoy seguro de que se creyeran todo lo que estaba pasando. Finalmente regresaron y me dijeron que no podían hacerlo. Sus reglas no les permitirían enviar una carta de exención de responsabilidad porque les había pedido que hicieran algo y lo habían hecho. Tuvieron una gran reunión la semana pasada aparentemente con el director ejecutivo de la cooperativa de ahorro y crédito y varias otras personas. Luego me volvieron a llamar el lunes y me dijeron que no podían hacerlo”.

Los Little tuvieron que cancelar el contrato de la casa que estaban dispuestos a ocupar en diciembre. La mayor parte de su efectivo estaba inmovilizado en esta cuenta que los bancos estaban regateando, por lo que optaron por obtener una pequeña casa adosada fuertemente hipotecada, con la intención de pagar la hipoteca cuando se devolvieran los fondos robados.

“Cancelamos el contrato de la casa porque los vendedores realmente necesitaban venderla”, dijo Jon Little.

La DCCU aún no ha respondido a mis solicitudes de comentarios. Pero menos de un día después de que KrebsOnSecurity se pusiera en contacto con la cooperativa de ahorro y crédito para obtener comentarios sobre la historia de los Little, el banco les informó que el otro banco pronto recibiría su carta de exención de responsabilidad, liberando sus $ 180,000 después de más de cuatro meses en el limbo legal. .

La historia de los Little tiene un final bastante feliz, sin embargo, la mayoría de las otras docenas de historias presentadas anteriormente en este blog sobre pagos de nómina, depósitos en garantía e hipotecas rebeldes terminaron con la víctima perdiendo al menos seis cifras.

Uno de los anunciantes más recientes en este blog: ninjio — se especializa en el desarrollo de videos de capacitación de concientización sobre seguridad personalizados y «gamificados» para clientes. “The Homeless Homebuyer”, uno de los videos que Ninjio produjo para un cliente del gobierno parece apropiado aquí: presenta a un agente animado del FBI que les da las malas noticias a algunos posibles propietarios de que su dinero se ha ido y también sus sueños de una nueva casa. — todo porque todos confiaron ciegamente en el correo electrónico no seguro para lo que es esencialmente una transacción en efectivo de alto riesgo.

Me gusta el video porque su mensaje es bastante claro y real: te pueden joder si no te tomas esto en serio y procedes con cuidado, porque una vez que el dinero se acaba, por lo general sigue igual. Compruébalo aquí:

Entonces, esto es lo que necesita saber si usted o alguien que conoce, ama o incluso le agrada está a punto de comprar o vender una casa: Nunca transfiera dinero basándose en el consentimiento de una de las partes de la transacción realizada por correo electrónico. Simplemente no sabe si su cuenta fue pirateada, por lo que, desde el punto de vista de la autoconservación, es mejor asumir que lo es.

Acuerde de antemano quién se comunicará con quién (preferiblemente por teléfono) el día de la liquidación para recibir los detalles del cableado y quién administrará el proceso de cableado. Nunca confíe en los detalles de la cuenta bancaria y las instrucciones de pago enviadas por correo electrónico. Siempre verifique dos o incluso tres veces las instrucciones para transferir dinero en el momento de la liquidación. Confirme todas las instrucciones de cableado en persona si es posible, o por teléfono.

Por cierto, estas mismas precauciones pueden ayudar a que las organizaciones sean menos susceptibles a los esquemas de fraude del CEO, estafas por correo electrónico en las que el atacante engaña al jefe y engaña a un empleado de la organización para que transfiera fondos al estafador.

El Oficina Federal de Investigaciones (FBI) ha estado llevando un registro continuo de la devastación financiera que sufren las empresas a través de las estafas de fraude de los directores ejecutivos. En junio de 2016, el FBI estimado que los ladrones habían robado casi $3.1 mil millones de más de 22.000 víctimas de estos esquemas de fraude electrónico.

Castagnoli dijo que muchas cooperativas de ahorro y crédito y bancos pequeños no tienen el personal legal con la autorización para hacer llamadas sobre si emitir un acuerdo de exención de responsabilidad, por lo que generalmente intentan jugar con eso cuando se les solicita. Si hubiera estado en la posición de The Littles, Castagnoli dijo que habría llamado al director de la cooperativa de ahorro y crédito y exigido ayuda.

“Si el jefe del banco no lo hiciera, llamaría a mi congresista oa un regulador bancario estatal”, dijo.

Si está vendiendo o comprando la casa usted mismo y de alguna manera también está a cargo de transferir dinero, considere usar un enfoque de CD en vivo (todas estas distribuciones de Linux «en vivo» se ejecutarán felizmente en unidades flash basadas en USB). Durante mucho tiempo he recomendado el uso de Live Linux como una opción inteligente para que las pequeñas empresas evite pagar caro cuando un troyano bancario de Windows sustrae sus credenciales bancarias comerciales.

Deja un comentario