¿Qué pueden hacer los bancos para protegerse contra la estafa de Vishing?

Ben Balthazar, 6 de Mayo de 2020
What Banks Can Do to Prevent the Krebs-reported Vishing Scam

Recientemente me encontré con un interesante artículo de Brian Krebs que me llamó la atención.

En este articulo, "Cuando tenga dudas: cuelgue, busque y devuelva la llamada" , Krebs cuenta la historia de uno de sus lectores, alias "Mitch", quien fue defraudado por $ 9,800. Me llamó la atención, porque Mitch es un experimentado lector de ciberseguridad y experto en tecnología. No esperarías que cayera en tales estafas.

El artículo proporciona orientación sobre lo que las personas pueden hacer para protegerse de las estafas, pero no explora cómo el banco pudo haber detectado o evitado el ataque. En esta publicación, haremos exactamente eso. Le recomiendo que lea el artículo completo de Krebs vinculado anteriormente, pero sí proporciono un resumen de la estafa a continuación. Si ya ha leído el artículo, omita la siguiente sección y sumérjase en mi análisis del ataque.

Resumen del artículo de Brian Krebs: "Cuando tenga dudas: cuelgue, busque y devuelva la llamada"

Mitch recibió una llamada de lo que parecía ser su institución financiera, advirtiéndole sobre el fraude detectado en su cuenta. El primer instinto de Mitch fue bueno. Verificó que el número utilizado por la persona que llamó coincidía con lo impreso en el reverso de su tarjeta de débito. Al ser conocedor de la seguridad, Mitch sabía que los estafadores podían falsificar fácilmente este número de teléfono. Al mismo tiempo, revisó su banca en línea mientras hablaba por teléfono. Mitch vio algunos cargos fraudulentos y retiros en cajeros automáticos. Debido a que la persona que llamó no solicitó información personal durante esa llamada, y en su lugar le aseguró que el banco revertiría los cargos, Mitch la tomó como una llamada genuina de su banco.

Al día siguiente, recibió otra llamada sobre fraude en su cuenta. Debido a que algo parecía mal en la llamada, decidió llamar al departamento de servicio al cliente de su banco mientras mantenía la primera llamada en espera. De alguna manera, el representante pudo verificar y confirmar que había otra llamada activa con Mitch. Esto lo convenció de que efectivamente estaba hablando con su banco.

La persona que llamó le dijo a Mitch que le enviarían una contraseña de un solo uso (OTP) a través de mensajes de texto SMS para verificar su identidad. Esto era algo que el banco había hecho en el pasado, por lo que Mitch estuvo de acuerdo. Recibió la OTP y se la leyó a la persona que llamó. El lunes siguiente, cuando Mitch revisó su banca en línea, vio una transferencia bancaria saliente de $ 9,800 publicada en su cuenta. Más tarde descubrió que la transferencia bancaria fue a una cuenta bancaria en línea creada en su nombre por los ciberdelincuentes.

Mi análisis del ataque vishing

Los estafadores utilizaron una tarjeta desnatada para iniciar una elaborada estafa de ingeniería social con el fin de robar información confidencial, números de cuenta y dinero de Mitch. También habían logrado cometer robo de identidad y abrir una nueva cuenta bancaria a nombre de Mitch, que veremos más adelante les permitió evitar que el banco marcara la transacción.

¿Podemos culpar a Mitch por caer en las llamadas vishing? No creo que debamos. Mientras que Mitch cometió algunos pequeños errores, mostró buenos reflejos. Mitch llamó a su banco desde el principio, sabiendo que los ciberdelincuentes podían falsificar el identificador de llamadas.

Es importante darse cuenta de que Mitch tiene más conocimiento de la industria sobre estafas e ingeniería social que la mayoría de las personas, y aún así se enamoró. El conocimiento y la conciencia no fueron suficientes en este caso. Para evitar que estas estafas afecten a otros clientes en el futuro, el banco puede aprovechar herramientas sofisticadas de detección y prevención.

Aquí hay cuatro áreas de oportunidad en las que el banco podría mejorar su estrategia de prevención de fraude y detener futuros intentos de fraude y vishing:

  • El banco confió en una contraseña única enviada por SMS para validar un pago enviado por banca telefónica.
  • El sistema de detección de fraude del banco no consideró el comportamiento habitual del cliente y el uso del canal.
  • El pago fraudulento no se marcó, porque la cuenta del beneficiario estaba en el mismo nombre que la cuenta del pagador. Su sistema de detección de fraude no consideró si el cliente había utilizado previamente esta cuenta de beneficiario o no.
  • El banco tenía controles de monitoreo y verificación inadecuados para identificar y validar un pago o acción sospechosa en la cuenta.

¿Cómo podría el Banco haber protegido mejor a Mitch?

Contraseñas de un solo uso enviadas por SMS vs. enlace dinámico;

El uso de contraseñas únicas de SMS para asegurar una cuenta bancaria en línea no es una buena práctica. Además de eso, usar SMS OTP para validar los pagos es peor. Las contraseñas de un solo uso de SMS son propensas a phishing, vishing, ingeniería social, malware móvil y otros ataques. Además, no proporcionan contexto para la transacción. El contexto es importante, como lo demostró este caso, porque proporciona al cliente el conocimiento de para qué se utiliza la contraseña de un solo uso.

En el ejemplo de Mitch, la OTP se estaba utilizando para autenticar la transferencia bancaria de $ 9,800 iniciada a través de la banca telefónica. Sin embargo, cuando recibió la contraseña de un solo uso, le dijeron que era para verificar su identidad. Mitch no tenía forma de saber que un atacante podría utilizar este mismo código para publicar un pago en su nombre. Dos cambios clave probablemente podrían haber evitado este ataque y muchos intentos similares de vishing y phishing:

  1. Enlace dinámico : Al vincular dinámicamente una contraseña de un solo uso a un pago o acción, esta OTP solo se puede usar para ese pago o acción específica. Además, al aplicar la vinculación dinámica, debe proporcionarse un contexto al usuario sobre para qué se utiliza esta OTP. En nuestro ejemplo, eso significa que la contraseña de un solo uso debería haberse vinculado al pago y que los detalles del pago deberían haber sido visibles y revisados por Mitch antes de ingresar la OTP en cualquier lugar.
     
  2. Usando un canal seguro de comunicación: Esto encaja perfectamente con el punto anterior. En lugar de depender de un canal vulnerable como el SMS, el banco podría haber aprovechado la tecnología para proporcionar un autenticador basado en software a sus clientes. El autenticador puede ser una aplicación independiente o incluso integrado con la aplicación de banca móvil . En lugar de enviar al cliente un SMS a un número de teléfono móvil que podría haber sido tomado (usando ataques de intercambio de SIM) o robado por malware móvil, el banco puede establecer un canal directo de comunicación con el usuario a través de su propia aplicación móvil. Esto permite que el banco implemente protección adicional en la comunicación, al aprovechar el cifrado de extremo a extremo y la analítica del dispositivo.

revestimiento dinámico

Con la vinculación dinámica, los detalles de la transacción o la operación son parte del proceso de validación y generación de contraseña única. Al usuario se le presentan los detalles al generar la OTP y la OTP solo se puede usar para validar esta operación específica. La vinculación dinámica es una herramienta clave para combatir el phishing y la ingeniería social, ya que proporciona contexto al usuario cuando autoriza una operación o transacción.

Si el banco hubiera implementado los cambios mencionados anteriormente, en lugar de recibir una contraseña única por SMS, Mitch habría recibido una notificación automática en su teléfono.

  • Al abrir la notificación, la aplicación le habría preguntado a Mitch si le gustaría autorizar el siguiente pago (y habría mostrado los detalles del pago).
  • Entonces se requeriría que Mitch verifique y confirme la autorización con un PIN o biométrico.
  • La aplicación habría generado una contraseña de un solo uso automáticamente y la habría enviado de vuelta al banco.
  • Incluso si la contraseña fue interceptada, debido a la vinculación dinámica solo se puede usar para verificar el pago que Mitch acaba de revisar, nada más. Por lo tanto, un atacante no podría usarlo.

Comportamiento habitual del cliente y uso del canal 

Si bien la vinculación dinámica y los canales seguros ayudarían a detener muchos ataques comunes, se puede hacer más para proteger a los clientes del banco. En nuestro ejemplo, no parece que Mitch sea un usuario común de la banca telefónica. Tiende a favorecer el canal de banca en línea. El banco podría haber utilizado este cambio en el comportamiento habitual de Mitch de la banca en línea a la banca telefónica, combinado con una transferencia significativa a una cuenta a la que Mitch nunca ha transferido, como un indicador de fraude. El banco podría haber llevado a cabo una verificación adicional antes de procesar el pago.

Cuenta de pagador y cuenta de beneficiario con el mismo nombre

Nuestro tercer punto es interesante, porque demuestra que los atacantes pueden haber tenido una idea de los procesos del banco. Resulta que transfirieron los fondos a una cuenta abierta a nombre de Mitch en un banco en línea. Luego, el banco utilizó esta información de cuenta para autorizar automáticamente el pago. Esto significa que su banco calibró su solución de detección de fraude para colocar un nivel de confianza en el proceso de incorporación de otra institución financiera, un proceso sobre el cual no tienen control. El robo de identidad es un hecho común, y las instituciones financieras no pueden depender unas de otras para eximir un pago de más controles.

Controles inadecuados de monitoreo y verificación

El último punto es la especulación, pero hay indicios de que el proceso de monitoreo de fraudes del banco no está maduro. Incluso podría ser que tienen las herramientas adecuadas, pero no saben cómo usarlas correctamente. Un indicador para mí es el hecho de que permitieron automáticamente ese pago, porque fue a una cuenta con el mismo nombre.

Otra preocupación es que el sistema de monitoreo de fraude no tomó medidas sobre los cargos fraudulentos de la tarjeta de crédito, porque los atacantes lograron colocar un aviso de viaje en la cuenta. Este aviso de viaje informó al sistema que ignoraría todas las alertas geográficas asociadas con su número de tarjeta de crédito para ese momento.

Sin embargo, tenga en cuenta que Mitch accedió a su cuenta bancaria en línea cuando los estafadores lo llamaron. Esto significa que el banco podría haber notado que Mitch está iniciando sesión en su banca en línea desde California mientras usa su tarjeta en Florida. Este tipo de información entre canales a menudo no es utilizada correctamente por los bancos, pero puede ser extremadamente valiosa para identificar el fraude. En todo caso, esto podría haber desencadenado una investigación más profunda por parte del departamento de fraude que podría haber identificado el esquema en curso.

agregando capas complementarias

Defensa en profundidad: agregar capas complementarias aumenta la capacidad de una organización para prevenir y detectar ataques.

Conclusión: Explore un enfoque de seguridad de varias capas

Los estafadores siempre están trabajando para idear nuevas estrategias para eludir los equipos de fraude, y este ejemplo en el artículo de Krebs lo atestigua. Por esa razón, es esencial que las instituciones financieras aprovechen sistemas de detección y prevención de fraude más sofisticados. Con el sistema adecuado y las herramientas de seguridad como la vinculación dinámica junto con un canal de comunicación seguro y fraude continuo y monitoreo del comportamiento , los bancos pueden proteger a los clientes de sofisticados esquemas de ingeniería social, así como de otros tipos de ataques de fraude, incluidos phishing, malware y más.

Para obtener más información sobre las soluciones de vinculación dinámica y fraude, explore estos recursos:

Libro electrónico

Fraude de robo de cuenta: cómo proteger a sus clientes y su negocio

Evite el fraude de robo de cuenta y proteja a los clientes en cada etapa de su viaje digital.

Descargar ahora

Ben Balthazar es consultor de fraude en OneSpan y ayuda a las instituciones financieras de Europa, Oriente Medio y Asia a defenderse contra el cibercrimen financiero. Ben comenzó su carrera en OneSpan en 2014 y se mudó de Bélgica a Dubai en 2016.