SMS Phishing + Cajero automático sin tarjeta = Beneficio – Krebs on Security

Los ladrones están combinando ataques de phishing basados ​​en SMS con nuevos cajeros automáticos «sin tarjeta» para convertir rápidamente las credenciales de cuentas bancarias suplantadas en efectivo. Arrestos recientes en Ohio arrojan luz sobre cómo funciona esta estafa.

Varias instituciones financieras ahora ofrecen transacciones en cajeros automáticos sin tarjeta que permiten a los clientes retirar efectivo usando nada más que sus teléfonos móviles. Pero esto también crea una vía de fraude para los delincuentes, que pueden aprovechar las credenciales de cuentas robadas o suplantadas para agregar un nuevo número de teléfono a la cuenta del cliente y luego usar ese dispositivo adicional para desviar efectivo de cuentas secuestradas en cajeros automáticos sin tarjeta.

En mayo de 2018, la institución financiera con sede en Cincinnati, Ohio Banco Quinto Tercero comenzó a escuchar quejas de clientes que recibían mensajes de texto en sus teléfonos que decían ser del banco, advirtiendo a los destinatarios que sus cuentas habían sido bloqueadas.

Los mensajes de texto contenían un enlace para desbloquear sus cuentas y conducían a los clientes a un sitio web que imitaba el sitio legítimo de Fifth Third. Ese sitio de phishing pedía a los visitantes que ingresaran las credenciales de su cuenta, incluidos nombres de usuario, contraseñas, códigos de acceso de un solo uso y números PIN, para desbloquear sus cuentas.

En total, esa estafa obtuvo las credenciales de aproximadamente 125 clientes de Fifth Third, la mayoría de ellos en el área de Cincinnati o sus alrededores. Luego, los delincuentes usaron los datos phishing para retirar $68,000 de 17 cajeros automáticos en Illinois, Michigan y Ohio en menos de dos semanas usando la función de cajero automático sin tarjeta de Fifth Third.

Según documentos judiciales, el phishing por SMS y los retiros fraudulentos en cajeros automáticos sin tarjeta continuaron hasta octubre de 2018, lo que les valió a los estafadores $40,000 adicionales. Es decir, hasta que el banco se concentró en cuatro personas sospechosas de perpetrar la ola de delitos. Poco después, cuatro hombres fueron arrestados en relación con los crímenes.

Uno de ellos, identificado como Ciprian-Raducu Antoche-Grecufue detenido en un suburbio de Cincinnati mientras estaba parado en el mismo cajero automático de Fifth Third donde anteriormente se lo observó realizando actividades fraudulentasalegan los investigadores.

En enero de 2017, KrebsOnSecurity contó la historia de una mujer de California a la que le quitaron casi $3000 de su cuenta a través de un cajero automático sin tarjeta operado por Chase Bank. En ese incidente, los ladrones ni siquiera necesitaban saber su PIN de cajero automático; los ladrones pudieron usar un número de teléfono y un dispositivo móvil que controlaban y asociarlo con su cuenta de Chase simplemente proporcionando su nombre de usuario y contraseña.

Como ilustra la historia de enero de 2017, las estafas de cajeros automáticos sin tarjeta no son nuevas, pero se están volviendo más frecuentes a medida que más bancos recurren a la tecnología de cajeros automáticos sin tarjeta como una conveniencia para los clientes. En esta época del año pasado, los cajeros automáticos sin tarjeta fueron ofrecidos principalmente por los grandes bancos, y solo en algunos de sus cajeros automáticos. Ahora, muchos bancos regionales y locales más pequeños han actualizado sus cajeros automáticos para habilitar la nueva tecnología.

Gigante de cartas Tarjeta MasterCard dice su votación (PDF) sugiere que el 78 por ciento de los consumidores preferiría usar una solución de cajero automático sin tarjeta que llevar una tarjeta física. Apuesto a que la mayoría de los titulares de tarjetas de EE. UU. aún no han oído hablar de los cajeros automáticos sin tarjeta, y mucho menos pueden decir si su banco ofrece o no tales transacciones. ¿Tiene curiosidad por saber si su banco admite transacciones sin tarjeta? Una búsqueda rápida en línea del nombre de su banco y el término «cajero automático sin tarjeta» debería brindarle algunas pistas.

Mientras tanto, recuerde nunca responder a solicitudes de información personal o financiera enviadas por correo electrónico, mensaje de texto o por teléfono. Los ataques de phishing basados ​​en teléfonos son cada vez más inteligentes e incluso atrapan a los expertos en tecnología, como muestra la historia del mes pasado. En caso de duda, comuníquese directamente con su institución financiera, ya sea en persona o por teléfono, al número que figura en el reverso de su tarjeta.