Cuáles son los principales engaños de fraudes de robo de cuenta y cómo protegerse contra ellos 

Magdalena Rut, 28 de Marzo de 2019
Top Account Takeover Fraud and How to Protect Against Them

En una encuesta de la industria realizada por el Grupo Aite, el 89% de los ejecutivos de instituciones financieras (FI) señalaron el fraude de adquisición de cuentas (fraude ATO) como La causa más común de pérdidas en el canal digital. 1 .

El fraude de toma de cuenta es un tipo de delito de robo de identidad en el que los delincuentes obtienen acceso a los datos financieros de la víctima para obtener ganancias. Está relacionado pero es diferente de otro tipo de robo de identidad llamado fraude de identidad sintético. En un escenario de adquisición de cuenta, un criminal usa los datos robados de un cliente legítimo o la información de identificación personal (PII) para acceder a su cuenta existente. Sin embargo, con el fraude de identidad sintética, estos datos se entrelazarán con detalles fabricados para crear una identidad falsa utilizada para abrir una nueva cuenta.

Ambos tipos de fraude pueden causar graves daños a sus clientes. En esta publicación de blog, nos centraremos en el fraude de adquisición de cuentas describiendo algunas de las estrategias de adquisición de cuentas más perniciosas y exploraremos cómo, al aplicar un enfoque por capas, las IF pueden detectar y proteger contra este tipo de fraude.

Técnicas de fraude de adquisición de cuenta

Violaciones de datos

Algunos ataques de adquisición de cuentas comienzan con estafadores que recopilan datos personales. Esto puede suceder mucho antes de que tenga lugar una transacción fraudulenta. Los malos actores simplemente compran datos personales filtrados como parte de una violación previa de datos. Las numerosas violaciones recientes de grandes corporaciones han expuesto miles de millones de nombres de usuario, direcciones de correo electrónico, contraseñas, números de tarjetas de crédito y números de seguridad social. 

Con estos datos filtrados, los ciberdelincuentes pueden preparar campañas de phishing específicas. También pueden obtener acceso no autorizado a las cuentas mediante el uso de un ataque automático (o, en el caso de los estafadores con menos experiencia, escribiendo manualmente combinaciones de credenciales). Si los mecanismos de autenticación de una FI se basan en medidas de seguridad débiles, como contraseñas estáticas, los delincuentes utilizarán una técnica conocida como relleno de credenciales. El relleno de credenciales es cuando un ejército de bots comprueba una lista de credenciales robadas contra una gama de sitios web que esperan una coincidencia. Si el proceso de autenticación incluye autenticación multifactor (p. ej., huella digital y contraseña de un solo uso), obtener acceso no autorizado a una cuenta requerirá más esfuerzo.

Suplantación de identidad

Los ataques de phishing son una forma de ingeniería social que se aprovecha de ciertas cualidades humanas al crear un sentido de urgencia o explotar nuestra confianza en las instituciones establecidas. Un correo electrónico de phishing, por ejemplo, puede verse exactamente como una comunicación válida de la institución financiera del destinatario alertando al usuario de que su cuenta está en riesgo. También puede contener elementos que se hacen pasar por un documento del banco o incluir otras trampas de un correo electrónico legítimo, como logotipos, firmas de correo electrónico y nombres reales de empleados.

En tal escenario, al hacer clic en el enlace del correo electrónico se redirigiría al usuario a un sitio web falso que se parece al sitio de su banco. A partir de ahí, la página web engañaría al usuario para que divulgue sus credenciales. Alternativamente, abrir un archivo adjunto de correo electrónico podría instalar una pieza de malware en su dispositivo que interceptará sus credenciales bancarias la próxima vez que ingresen al sitio legítimo del banco. Finalmente, el correo electrónico de phishing podría solicitar al usuario que llame a un número solicitado. En el otro extremo del teléfono habrá un estafador bien entrenado que se hará pasar por un representante bancario.

El phishing tiene muchas caras, que incluyen:

  1. Spear phishing: un intento de phishing dirigido a un individuo o grupo específico.
     
  2. Caza de ballenas: un ataque que apunta a un individuo de alto perfil
     
  3. Vishing o "phishing de voz": una estafa de phishing por teléfono. 
     
  4. Smishing: mensajes de texto que pueden incluir un enlace a un portal bancario falso o una estafa basada en mensajería. 

Ataques de intercambio de SIM

Los operadores de telefonía móvil ofrecen un servicio legítimo para intercambiar la tarjeta SIM de un usuario. A menudo, los clientes aprovechan este servicio cuando cambian a un nuevo dispositivo que ya no admite su tarjeta SIM anterior. Los estafadores pueden abusar de este servicio. Utilizan técnicas de ingeniería social para desactivar la tarjeta SIM de la víctima y obtener una nueva tarjeta con el número de teléfono y los datos del usuario. De esta manera, el estafador puede apuntar a soluciones bancarias que usan teléfonos móviles en el flujo de autenticación. Por ejemplo, si la inscripción de una aplicación de banca móvil se realiza a través del canal de SMS, el intercambio de SIM puede permitir a los estafadores activar esta aplicación en su teléfono. Además, si el mecanismo de autenticación del banco incluye mensajes de texto como medio para entregar contraseñas de un solo uso, entonces tomar el número de la víctima es una forma atractiva para que los delincuentes autentiquen transacciones fraudulentas o realicen otras operaciones dentro de la sesión bancaria.

Malware

Otra forma de tomar el control de una cuenta bancaria es a través del malware. Este software malicioso puede instalarse en la computadora o dispositivo móvil de la víctima a través de una amplia gama de acciones del usuario. Estos incluyen visitar sitios web riesgosos, abrir archivos adjuntos de correos electrónicos de phishing o descargar aplicaciones móviles de fuentes no confiables. También se puede combinar con otros programas (por ejemplo, disfrazarse como una actualización de Flash Player). Los programas de malware pueden realizar diferentes tipos de ataques. Algunos instalarán archivos de configuración en la computadora infectada para redirigir a la víctima a un sitio web malicioso. Algunos, llamados registradores clave, interceptarán todo lo que escriba la víctima, incluidas sus credenciales bancarias. Otros pueden infectar un navegador web mediante la instalación como un complemento. Conocidos como un ataque Man-in-the-Browser, son capaces de interceptar credenciales o modificar detalles de transacciones u otros datos. 

Los troyanos de banca móvil son una amenaza que ha ido creciendo en número y complejidad, alcanzando un máximo histórico el año pasado . Una de las funcionalidades de un troyano de banca móvil es un ataque de superposición. En un ataque de superposición, una pieza de malware creará una capa adicional sobre la interfaz de usuario en el dispositivo móvil. Esta capa adicional es en realidad una ventana que cubre la aplicación bancaria legítima e imita su diseño. Una vez que detecta que la aplicación bancaria se está ejecutando, se activará, empujará la aplicación de destino al fondo y mostrará su propia interfaz de inicio de sesión. Una víctima desconocida pasará por el proceso de autenticación y el malware reunirá las credenciales del usuario.

Los troyanos de banca móvil pueden causar aún más daños. El malware puede permanecer activo y modificar los datos mientras la víctima realiza otras acciones dentro de la sesión bancaria. Por ejemplo, un troyano bancario puede interceptar una transferencia de fondos y redirigir el dinero a una cuenta fraudulenta. Si desea leer sobre un ataque de este tipo con mayor profundidad, consulte nuestro blog, " Protección contra el malware bancario Android BankBot mediante RASP . "

Hombre en el medio

En este tipo de ataque, los estafadores se posicionan entre la FI y el usuario para interceptar, editar, enviar y recibir comunicaciones sin levantar sospechas. Tomando el control del canal de comunicación 
entre el dispositivo del usuario y el servidor se puede hacer configurando una red Wi-Fi maliciosa como punto de acceso público (conocido como punto de acceso no autorizado). A través de este punto de acceso, un estafador puede interceptar todos los datos que la víctima envía y recibe. 

Los ataques de Man-in-the-Middle también pueden afectar el canal de banca móvil. Las personas aprovechan los puntos de acceso públicos, sin darse cuenta de que pueden estar transfiriendo sus datos de pago a través de una red controlada por un mal actor. Por supuesto, las aplicaciones de banca móvil deben aplicar ciertas medidas de seguridad al comunicarse con un servidor. Sin embargo, un diseño incorrecto puede hacer que una aplicación sea vulnerable. La configuración incorrecta o la falta de un canal seguro para datos móviles en tránsito también aumenta el riesgo de este tipo de ataque.

Fraude de robo de cuenta: cómo proteger a sus clientes y su negocio
PAPEL BLANCO

Fraude de robo de cuenta: cómo proteger a sus clientes y su negocio

Al ofrecer un desglose de las principales técnicas de fraude de adquisición de cuentas, este libro electrónico cubre el enfoque de seguridad de múltiples capas necesario para proteger las cuentas de sus clientes.

Detener la toma de control de cuenta

Protección multicapa contra fraude de adquisición de cuenta

Sin un conjunto sólido de medidas de seguridad, un ataque de adquisición de cuenta puede pasar desapercibido durante semanas o incluso meses, especialmente si los estafadores logran redirigir toda la comunicación bancaria de la víctima a sus canales digitales. A veces, la víctima solo detectará el ataque cuando note actividad extraña en su estado de cuenta.

A pesar de las contramedidas adoptadas por los bancos, como la educación del cliente, muchos usuarios aún caen en la trampa. Un enfoque de seguridad de varias capas es la mejor manera de minimizar el riesgo de que los clientes de una FI sean víctimas de fraude de adquisición de cuentas. Este enfoque reúne varias soluciones que protegen las operaciones bancarias y los clientes sin ningún efecto negativo en la experiencia del usuario.

Prevención: asegurar al usuario y la aplicación

Con los escenarios de ataque aumentando en variedad y complejidad, es importante que las IF ofrezcan soluciones que ayuden a sus clientes a evitar confusiones, minimizando así el riesgo de interacción con un estafador. Un sistema de prevención de fraude debe combinar capacidades que protejan a ambos usuarios y sus dispositivos .

Protegiendo al usuario

OneSpan's Cronto ® La capacidad visual de firma de transacciones ayuda a proteger a los usuarios de la ingeniería social, los ataques Man-in-the-Middle y, posteriormente, de convertirse en víctimas de fraude en la toma de control de cuentas.

Cronto

La solución de firma de transacciones Cronto de OneSpan crea una firma de transacción única para cada transacción utilizando datos como números de cuenta, monto de la transacción y una marca de tiempo.

Cronto limita la posibilidad de modificar el contenido de la transacción que se firma, porque el código visual generado está directamente conectado a la transacción financiera en sí. Cualquier cambio en estos detalles invalidará el código. Los detalles de la transacción son claramente visibles para el usuario al autorizar una transacción, evitando el escenario Man-in-the-Middle. Además, ninguna parte fraudulenta puede alterar la creación de un código Cronto. Ese código solo puede generarse con la participación del banco, basado exactamente en los detalles de la transacción solicitada por el usuario.

Protección de la aplicación y el canal de comunicación

Una aplicación móvil puede ser parte del proceso de autenticación en la banca en línea. También puede constituir un canal de banca móvil separado, actualmente una de las principales prioridades para las IF, pero también un vector de ataque muy valioso para los estafadores. Los dispositivos móviles pueden convertirse en una vulnerabilidad en el viaje digital del cliente, pero con los controles de seguridad adecuados, pueden convertirse en un activo que contribuye a una experiencia de usuario segura.

Con Seguridad móvil de OneSpan Suite, las IF pueden ganar visibilidad sobre el riesgo del canal móvil y ayudar a mitigar el fraude. La solución ayuda a establecer la confianza y aplica un enfoque integral a la seguridad móvil teniendo en cuenta: la aplicación, el dispositivo, la interfaz, las comunicaciones, el almacenamiento y los usuarios. Puede detectar vulnerabilidades en el dispositivo del usuario y aplicar medidas de seguridad definidas con precisión. Con el blindaje de aplicaciones y la protección de tiempo de ejecución, ayuda a bloquear los ataques de superposición, los registradores de teclas y otras tecnologías maliciosas para que no roben o modifiquen los datos del usuario. Por ejemplo, OneSpan App Shielding tiene un mecanismo incorporado para detectar cómo la aplicación se puso en segundo plano, lo que, junto con otros criterios, puede ayudar a determinar si el usuario es víctima de un ataque de superposición.

Detección proactiva de fraude en todos los canales digitales

Las IF necesitan la capacidad de detectar de manera proactiva los signos de una toma de control de la cuenta antes de que sus clientes se vean afectados. Hay señales en los datos de usuario, dispositivo y transacciones que pueden proporcionar indicadores de que los clientes están bajo ataque. Una descripción general de todas las acciones de los clientes también puede ayudar a detectar combinaciones sospechosas de eventos. Por ejemplo, si varios usuarios solicitan repentinamente un cambio de contraseña o si hay una acumulación de intentos fallidos de inicio de sesión, esto podría ser un indicador de la toma de control de la cuenta.

OneSpan Risk Analytics poder ayudar. Risk Analytics califica cada acción y cada usuario en todos los canales digitales. Reúne conocimientos sobre todas las acciones antes, durante y después de la sesión bancaria para crear una visión general completa de la situación. Utiliza un motor de análisis de riesgos que aprovecha el aprendizaje automático para analizar cientos de puntos de datos, detectar anomalías en el comportamiento del usuario y recomendar requisitos de autenticación basados en puntajes de riesgo altamente precisos. Finalmente, puede ayudar a prevenir varios escenarios de adquisición de cuentas, como la creación no autorizada de nuevos beneficiarios, nuevos cambios en el perfil de la cuenta y transferencias de fondos.  

Autenticación adaptativa inteligente: mejore la experiencia del cliente al tiempo que fortalece la seguridad

OneSpan's Autenticación Adaptativa Inteligente La solución (IAA) proporciona el nivel preciso de seguridad en el momento adecuado para cada transacción, basado en el análisis de riesgos en tiempo real de los datos de usuario, dispositivo y transacción. Cada viaje de autenticación es diferente, es por eso que la solución evalúa todas las acciones del usuario caso por caso para determinar los métodos de autenticación más adecuados en función del nivel de riesgo. Adaptar el flujo de autenticación a cada transacción única hace que sea más difícil para los estafadores predecir y planificar sus ataques. Esta imprevisibilidad frustra el intento de un estafador de obtener ganancias rápidas con el mínimo esfuerzo.

Mirando hacia el futuro del fraude de adquisición de cuentas

El fraude de adquisición de cuenta solo continuará creciendo y creciendo más rápido. Es una fuente de ganancias relativamente fácil para los malos actores que continuarán explotando todas las debilidades disponibles en el sistema bancario financiero. Sin embargo, un enfoque de seguridad moderno y de varias capas puede contribuir significativamente a mitigar los ataques que conducen a la toma de control de la cuenta. Las soluciones que protegen al usuario, el dispositivo, la aplicación y el canal de comunicación, combinadas con un completo motor de análisis de riesgos y un marco de autenticación inteligente, son esenciales para avanzar en la lucha contra el fraude de adquisición de cuentas.

1) Mitigación del fraude de canales digitales: evolucionando a Mobile-First, Aite Group LLC, https://www.onespan.com/resources/digital-channel-fraud-mitigation-evolving-to-mobile-first

Magdalena Rut se unió a OneSpan como escritora y comercializadora de contenido con 14 años de experiencia. Tiene un diploma de licenciatura de la Universidad Tecnológica de Bialystok y dos diplomas de maestría del Instituto de Estudios Políticos de París y la Escuela de Economía de Varsovia.