Las mulas de los grandes bancos apuntan a las pequeñas empresas bancarias: Krebs on Security

Un robo cibernético de $ 170,000 el mes pasado contra un proveedor de hogar de ancianos de Illinois ilustra claramente cómo las grandes instituciones financieras están siendo aprovechadas para atacar las debilidades de seguridad en bancos y cooperativas de crédito pequeños y regionales.

He escrito sobre más de 80 organizaciones que fueron víctimas de robos cibernéticos, y han surgido algunos temas recurrentes de casi todas estas infracciones. Primero, la mayoría de las organizaciones de víctimas depositaron en instituciones más pequeñas. En segundo lugar, prácticamente todas las mulas de dinero (individuos voluntarios o involuntarios reclutados para ayudar a lavar los fondos robados) usaron cuentas en los cinco bancos más grandes de EE. UU.

el ataque a niles enfermería inc. proporciona un ejemplo de libro de texto. El lunes 17 de diciembre de 2012, los delincuentes informáticos iniciaron sesión en las cuentas bancarias en línea de la empresa utilizando las credenciales del controlador y canalizando su conexión a través de su PC pirateada. Al comienzo del atraco, los sinvergüenzas agregaron 11 mulas de dinero a la nómina de Niles, enviándolas cámara de compensación automatizada (ACH) pagos por un total de más de $ 58,000, solicitando a cada mula que retire sus transferencias en efectivo y transfiera el dinero a personas en Ucrania y Rusia.

nilesmulespart Institución financiera de Niles – Ft. con sede en Lauderdale, Florida banco óptimo — evidentemente no vio nada sospechoso en que 11 nuevos empleados repartidos por cinco estados se añadieran a la nómina de sus clientes de la noche a la mañana. Desde la perspectiva del banco, el usuario que envió el lote de nómina inició sesión en la cuenta con las credenciales adecuadas y con la misma PC que normalmente se usaba para administrar la cuenta. Los ladrones realizarían otros dos lotes de pagos fraudulentos durante los próximos dos días (el banco bloqueó el último lote el día 19).

En total, los atacantes parecen haber reclutado al menos dos docenas de mulas de dinero para ayudar a transportar el botín robado. Todas menos dos de las mulas usaron o abrieron cuentas en cuatro de cinco de los principales bancos estadounidenses del país, incluidos Banco de America, Perseguir, Citibanky pozos fargo. Sin duda, estas instituciones juntas representan un gran porcentaje de las cuentas bancarias minoristas en Estados Unidos hoy en día, pero las entrevistas con mulas reclutadas por esta banda criminal indican que recibieron instrucciones de abrir cuentas en estas instituciones si aún no las tenían.

ANÁLISIS

He hablado en numerosas conferencias de la industria financiera durante los últimos tres años para hablar sobre estos robos cibernéticos, y una pregunta que casi siempre me hacen es: «¿Es más seguro para las empresas realizar operaciones bancarias en instituciones más grandes?» Esta es una pregunta difícil de responder porque la banca en línea sigue siendo un asunto legal y financieramente riesgoso para cualquier empresa, independientemente del banco que utilice. Las empresas no disfrutan de las mismas protecciones contra el fraude que los consumidores; si un troyano permite que los delincuentes desvíen las cuentas en línea de una organización, la organización víctima es legalmente responsable de la pérdida. La institución financiera puede decidir reembolsar a la víctima parte o la totalidad de los costos del fraude, pero eso depende totalmente del banco.

Es más, es probable que vean la luz menos robos cibernéticos que involucren a clientes de los 5 bancos principales, principalmente porque los bancos más grandes están en una mejor posición financiera para asumir la responsabilidad de parte o la totalidad de la pérdida (siempre y cuando, por supuesto, eso la víctima, a cambio, se compromete a no demandar al banco ni revelar públicamente el incumplimiento).

Prefiero responder a la pregunta como si fuera un ciberladrón moderno encargado de seleccionar objetivos. Los ladrones organizados detrás de estos ataques envían diariamente decenas de millones de correos electrónicos con trampas explosivas y, sin duda, tienen miles de credenciales bancarias en línea robadas para usar en cualquier momento. Hay más de 7,000 instituciones financieras en los Estados Unidos… ¿debería elegir un objetivo en uno de los 10 bancos principales? Estas instituciones poseen la mayoría de los activos de la industria financiera y están acostumbradas a mover grandes sumas de dinero todos los días.

Por otro lado, su potencial de fraude es casi con toda seguridad órdenes de magnitud mayor que en las instituciones más pequeñas. Eso sugeriría que puede ser más fácil para estas instituciones más grandes justificar los gastos antifraude. Ese incentivo para promulgar protecciones antifraude es aún mayor porque estas instituciones tienen una gran cantidad de clientes minoristas, un canal en el que legalmente absorben la pérdida de la actividad no autorizada de la cuenta.

Usando mis anteojos de ciberladrón, si estoy mirando una gran cantidad de datos robados de miles de víctimas, probablemente sea más probable que apunte a las víctimas en bancos más pequeños en base a una suposición simple: Porque voy a tener una mucho mayor tasa de éxito que la que obtendría dirigiéndome a clientes de instituciones más grandes.

COMPETIR EN SEGURIDAD?

Todo esto plantea varias preguntas: ¿Pueden las instituciones financieras más pequeñas esperar de manera realista competir con los bancos más grandes en seguridad? ¿Deberían siquiera intentarlo? Las instituciones más pequeñas no parecen tener las mismas economías de escala para lograr la misma seguridad que tienen los principales bancos. Quizás para compensar esto, muchas instituciones más pequeñas han contratado a proveedores de servicios de la industria bancaria para que los ayuden a operar sus servicios bancarios en línea.

Desafortunadamente, asegurar el espacio de transacciones del cliente tradicionalmente no ha sido un componente principal de estos servicios subcontratados, que se enfocan en identificar ataques de phishing y otras anomalías en el portal web del banco y en los sistemas internos. Por alguna razón, estos proveedores generalmente no han utilizado la inteligencia que circula a través de sus redes para ayudar a los clientes de bancos más pequeños a descubrir y detener el fraude ACH.

Caso en cuestión: el proveedor de servicios de Optimumbank es Fiserv, uno de los mayores proveedores de servicios de la industria bancaria. De acuerdo a sitio de Fiserv, al menos el 52 por ciento de los $ 19 mil millones en pagos ACH de la nación se procesan utilizando el software Fiserv. Si esto es cierto, uno podría pensar que los sistemas de Fiserv manejaron alrededor de la mitad de las transferencias de mulas que se enviaron desde la cuenta bancaria pirateada de Niles Nursing.

Pero según murray waltondirector de riesgos de Fiserv, el software que ejecutan la mayoría de sus clientes bancarios, llamado PEP+ — es una solución de cliente que no interactúa con los centros de datos de la empresa. Dijo que si bien Fiserv ofrece una solución antifraude llamada Red de fraudeesa herramienta está diseñada para servicios de pago de facturas en línea que los bancos pueden usar para detectar patrones de fraude en cuentas de consumidores.

“Hay proveedores que pueden unir todo para los bancos, pero eso no es lo que hacemos”, dijo Walton en una entrevista. “Por varias y diversas razones, no ofrecemos un motor que haga lo mismo que [an anti-fraud provider like] Guardian Analytics. Siendo realistas, el cliente y el usuario final tienen responsabilidades de las que no pueden abdicarnos. Todos en esto deben tomarlo en serio y no pensar que alguien más los cubre”.

marca ackerlyvicepresidente y director de seguridad de la información en Banco Comunitario NAuna institución financiera con sede en DeWitt, NY, dijo que hay una serie de beneficios que provienen de los bancos pequeños que pueden no ser evidentes de inmediato.

“En términos generales, los bancos comunitarios que pueden no tener la capacidad de ofrecer soluciones antifraude automatizadas complejas pueden aprovechar su tamaño más pequeño y su sólido conocimiento del cliente para utilizar soluciones más simplificadas de una manera que las hace muy efectivas”, dijo Ackerly. “También es este mismo alto nivel de interacción con el cliente, que generalmente se encuentra en los bancos comunitarios, lo que hace que la apertura de cuentas para actividades maliciosas sea menos anónima o simplificada”.

Aunque históricamente los proveedores de servicios pueden haber quedado rezagados en algunas de sus ofertas de seguridad tecnológica, esa postura ha mostrado un cambio significativo, agregó.

“Algunos de los principales proveedores de servicios están comenzando a mostrar una gran promesa en sus ofertas para detectar malware y actividades maliciosas”, dijo Ackerly.

CYA

Tal como están las cosas, los grandes bancos no tienen un incentivo para vigilar las cuentas nuevas en busca de actividad de mulas, porque generalmente no son sus clientes los que están siendo robados de esta actividad, dijo Aviva litánun analista de fraude con Gartner Inc..

“Los malos no deberían poder configurar estas cuentas mula en primer lugar”, dijo Litan. “Los bancos más grandes no están haciendo un buen trabajo al detectar esta actividad porque no son ellos los que comen el fraude en estos ataques a los clientes de los bancos más pequeños. [The bank service providers] debería gastar más dinero. Y los reguladores deberían ser más duros con ellos”.

Parece que los reguladores bancarios están examinando más de cerca el papel de los proveedores de servicios. Consejo Federal de Examen de Instituciones Financieras (FFIEC) emitido recientemente orientación revisada para los inspectores bancarios que aclara que “las actividades subcontratadas deben estar sujetas a la misma gestión de riesgos, seguridad, privacidad y otros controles internos y políticas de cumplimiento como si dichas funciones se realizaran internamente, y que la junta directiva y la gerencia de una institución financiera tienen la responsabilidad de garantizar que las actividades subcontratadas se lleven a cabo de manera segura y en cumplimiento de las leyes y reglamentos aplicables”.

Al final, puede ser que los bancos pequeños, regionales y locales puedan unir su influencia y recursos para extraer más de los proveedores de servicios de lo que esas empresas ofrecen actualmente. También sería alentador ver que estas instituciones más pequeñas toman la iniciativa de educar a sus clientes sobre la gravedad de la amenaza que enfrentan.

A menudo escuché decir que en tiempos de incertidumbre económica, las instituciones financieras más pequeñas y locales son más propensas que los bancos más grandes a prestar dinero a las pequeñas empresas. Si esto es cierto, entonces es probable que estas instituciones realmente conozcan a sus clientes y reconozcan una buena apuesta cuando la ven. Mi esperanza es que las instituciones más pequeñas también hagan todo lo posible para comprender mejor la actividad en línea de sus clientes, y tengan la capacidad de detectar y actuar ante las señales de alerta que con demasiada frecuencia indican un compromiso de cuenta.

Mientras tanto, nada de esto importa: como dijo Walton de Fiserv, la mejor solución para las empresas es comportarse como si nadie los respaldara. Nos guste o no, las «leyes y reglamentos aplicables» aún dejan en última instancia a las empresas responsables de garantizar su propia seguridad cuando realizan operaciones bancarias en línea. Si tiene una pequeña empresa y desea realizar operaciones bancarias en línea, compare precios si puede y encuentre un banco que ofrezca y abogue por capas adicionales de seguridad. Si su banco lo ofrece, considere registrarse para Pago positivo; este servicio antifraude se creó para derrotar el fraude con cheques, pero es notablemente eficaz para obstaculizar las transferencias no autorizadas tanto en línea como fuera de línea. Niles Nursing no estaba inscrito en Positive Pay en el momento del robo cibernético, aunque la empresa lo está ahora, según un empleado que habló con KrebsOnSecurity.

Pero la mejor manera de evitar un robo cibernético es no tener sus sistemas informáticos infectados en primer lugar. El problema es que cada vez es más difícil saber cuándo un sistema está o no infectado (por ejemplo, Niles Nursing estaba usando Microsoft Security Essentialsque no pudo detectar el troyano bancario utilizado en el ataque). Es por eso que abogo por el uso de un enfoque de Live CD para la banca en línea: de esa manera, incluso si el disco duro subyacente está infectado con un troyano de robo de contraseñas de acceso remoto como Zeus o Ciudadela, su sesión de banca en línea está protegida.

En una próxima publicación, analizaré diferentes opciones asequibles disponibles para las pequeñas empresas para asegurarse contra pérdidas por robos cibernéticos. Mientras tanto, he reunido una breve lista de otros consejos que las pequeñas empresas deben tener en cuenta al realizar operaciones bancarias en línea.

Tengan cuidado ahí afuera, amigos.

Deja un comentario