¿Qué es el fraude de adquisición de cuenta (ATO)?
El fraude de apropiación de cuenta (ATO) ocurre cuando un ciberdelincuente obtiene acceso a las credenciales de inicio de sesión de la víctima para robar fondos o información. Los estafadores ingresan digitalmente a una cuenta bancaria financiera para tomar el control de ella y tienen una variedad de técnicas a su disposición para lograrlo, como phishing, malware y ataques man-in-the-middle, entre otros. ATO es una de las principales amenazas para las instituciones financieras y sus clientes debido a las pérdidas financieras y los esfuerzos de mitigación involucrados.
Los estafadores pueden apoderarse de cuentas existentes, como bancos, tarjetas de crédito y comercio electrónico. Algunas adquisiciones de cuentas comienzan cuando los estafadores recopilan información personal de las violaciones de datos o la compran en la Dark Web. La información personal, como direcciones de correo electrónico, contraseñas, números de tarjetas de crédito y números de seguridad social recopilados, es valiosa para los ladrones cibernéticos para obtener beneficios económicos. Cuando un ataque de adquisición de cuenta tiene éxito, puede dar lugar a transacciones fraudulentas, fraude con tarjetas de crédito y compras no autorizadas desde cuentas de clientes comprometidas. La toma de control de cuenta a menudo se conoce como una forma de robo de identidad o fraude de identidad, pero ante todo es robo de credenciales porque implica el robo de información de inicio de sesión, que luego permite al delincuente robar para obtener ganancias financieras. El fraude por adquisición de cuenta evoluciona continuamente y es una amenaza constante que se presenta en diferentes formas. Un ataque exitoso de adquisición de cuenta conduce a transacciones fraudulentas y compras no autorizadas de las cuentas financieras comprometidas de la víctima.
Los estafadores intentan pasar desapercibidos en ATO
En un escenario exitoso de adquisición de cuentas, los estafadores intentan evitar cualquier actividad inusual que haya comprometido las cuentas. En cambio, a menudo intentan cambiar la información de la cuenta, la contraseña e incluso las notificaciones para que el propietario legítimo no esté al tanto de las actividades ilícitas que ocurren en su cuenta. Los perpetradores a menudo roban dinero de una cuenta bancaria al realizar un pago a una empresa fraudulenta o al transferir fondos a otra cuenta. Los estafadores también pueden solicitar una nueva tarjeta de crédito, una nueva cuenta u otro producto financiero. Además de este tipo de acciones, tienen el poder de realizar cualquier cantidad de transacciones no autorizadas que causen daños financieros.
Los ladrones también pueden obtener números de cuenta de muchas formas, incluida la piratería en línea, el robo de correo, el robo de billeteras y los cajeros automáticos y los skimmers de tarjetas. Sin embargo, existen algunos indicios de fraude por adquisición de cuentas. Si varios usuarios solicitan repentinamente un cambio de contraseña o si hay una acumulación de intentos de inicio de sesión fallidos, estos podrían ser indicadores de fraude de adquisición de cuenta. Una vez que el titular de la tarjeta descubre ATO, el comerciante puede esperar ver una serie de devoluciones de cargo y disputas de transacciones de clientes. Cuando los intentos de adquisición de cuentas tienen éxito, pueden poner a prueba la relación entre el titular de la cuenta y la institución financiera, y también dañar la marca del banco. Por ejemplo, si varios usuarios solicitan repentinamente un cambio de contraseña o si se acumulan los intentos fallidos de acceso, esto podría ser un indicador de robo de cuenta.
eBook
Account Takeover Fraud: How to Protect Your Customers and Business
Help prevent account takeover fraud and secure customers at every stage of their digital journeys.
Download Now
Métodos utilizados en el fraude de adquisición de cuentas
Suplantación de identidad:
Las personas siguen siendo el eslabón de seguridad más débil debido a su tendencia natural a confiar, que es esencial para el éxito de los ataques de ingeniería social. Las estafas de suplantación de identidad se hacen pasar por personas y marcas conocidas y de confianza. Parecen ser legítimos y pueden solicitar donaciones con apelaciones emocionales que persuaden a los usuarios a hacer clic en enlaces que los redireccionan a un portal bancario falso o para abrir un archivo adjunto que instalará un malware que recolecta credenciales. La forma más común de phishing es el correo electrónico, pero también se pueden utilizar los mensajes de texto (SMS) y los servicios de mensajería de redes sociales. En el caso de los usuarios de dispositivos móviles, ni siquiera necesitan descargar un archivo adjunto. Un enlace dentro de un SMS puede dirigir a un usuario a una página web que instala automáticamente malware en su dispositivo.
Relleno de credenciales:
Los estafadores suelen comprar una lista de credenciales robadas de la Dark Web. Estos pueden incluir, entre otros tipos de datos, direcciones de correo electrónico y las contraseñas correspondientes, a menudo de una violación de datos. Los ataques de relleno de credenciales generalmente involucran bots que usan scripts automatizados para intentar acceder a una cuenta. Esta información también se puede utilizar para obtener acceso no autorizado a varias cuentas basándose en el supuesto de que muchas personas reutilizan los mismos nombres de usuario y contraseñas una y otra vez. Sin embargo, si el proceso de autenticación de la institución financiera implica la autenticación de varios factores, como una huella digital y una contraseña de un solo uso, obtener acceso se vuelve más difícil. Otro método importante, conocido como craqueo de credenciales, también se conoce como ataque de "fuerza bruta" porque implica intentar adivinar la contraseña correcta de la cuenta realizando varios intentos de inicio de sesión con una contraseña diferente cada vez.
Intercambio de tarjeta SIM:
El intercambio de una tarjeta SIM es un servicio legítimo que ofrecen los operadores de telefonía móvil cuando un cliente compra un dispositivo nuevo y la tarjeta SIM anterior ya no es compatible con él. Los estafadores pueden abusar de este servicio con un truco relativamente simple. En una estafa de intercambio de tarjeta SIM, un estafador utiliza técnicas de ingeniería social para transferir el número de teléfono móvil de la víctima a una nueva tarjeta SIM. El estafador se pone en contacto con el operador de telefonía móvil de un cliente y se hace pasar por el cliente, convenciendo a un agente del centro de llamadas para que transfiera el número de teléfono móvil a la tarjeta SIM ilegal. Como resultado, la aplicación bancaria del usuario se puede activar en el teléfono del estafador. Si el mecanismo de autenticación del banco incluye mensajes de texto como un medio para entregar contraseñas de un solo uso, el control del número de la víctima se convierte en una forma atractiva para que un delincuente realice transacciones fraudulentas, agregue beneficiarios o realice otras operaciones durante una sesión bancaria.
Software malicioso:
El software malicioso es otra forma de tomar el control de una cuenta bancaria mediante la instalación de software malicioso o "malware" en la computadora o dispositivo móvil de la víctima. Esto se hace descargando aplicaciones de fuentes no confiables, o puede ser en otros programas; por ejemplo, disfrazado de actualización de Flash Player. Algunos programas maliciosos, llamados registradores de claves, interceptarán todo lo que el usuario escriba, incluidas sus credenciales bancarias.
Troyanos bancarios móviles:
Una técnica común utilizada por los troyanos bancarios móviles es un ataque de superposición en el que se coloca una pantalla falsa encima de una aplicación bancaria legítima. Luego, el malware captura las credenciales de autenticación de la víctima y puede permanecer activo mientras se realizan otras transacciones bancarias. Por ejemplo, el malware puede modificar los datos de las transacciones interceptando una transferencia de fondos y redirigiendo el dinero a una cuenta fraudulenta. Estos ataques están destinados a crecer a medida que el uso de teléfonos inteligentes sigue aumentando a nivel mundial.
Ataques de intermediario:
En un ataque Man-in-the-Middle, los estafadores se colocan entre la institución financiera y el usuario para interceptar, editar, enviar y recibir comunicaciones sin que se den cuenta. Por ejemplo, pueden hacerse cargo del canal de comunicación entre el dispositivo del usuario y el servidor del banco configurando una red Wi-Fi maliciosa como un punto de acceso público en una cafetería y darle un nombre que suene inofensivo pero legítimo, como "Public Coffee . " Las personas se aprovechan de los puntos de acceso públicos, sin darse cuenta de que pueden estar transfiriendo sus datos de pago a través de una red controlada por un mal actor. Un ataque Man-in-the-Middle también puede ocurrir a través de una aplicación de banca móvil vulnerable que no es segura.
Cómo detectar el fraude de adquisición de cuentas
ATO puede ser difícil de detectar porque los estafadores pueden esconderse detrás del historial positivo de un cliente e imitar el comportamiento normal de inicio de sesión. El monitoreo continuo brinda la capacidad de detectar signos de fraude de adquisición de cuentas antes de que comience.
Un sistema de detección de fraude eficaz brindará a las instituciones financieras una visibilidad total de la actividad de un usuario antes, durante y después de una transacción. La mejor defensa es un sistema que monitorea todas las actividades en la cuenta bancaria porque antes de que un criminal pueda robar dinero, primero debe realizar otras acciones, como establecer un nuevo beneficiario. Monitorear todas las acciones en una cuenta ayudará a identificar patrones de comportamiento que indiquen la posibilidad de fraude de adquisición de cuenta. Dado que los delincuentes deben tomar acciones como esta antes de transferir dinero de una cuenta, un sistema de detección de fraude con monitoreo continuo encontrará patrones y pistas para determinar que un cliente puede estar bajo ataque.
Este tipo de sistema de detección de fraudes también puede evaluar el riesgo en función de datos como la ubicación. Por ejemplo, si un cliente accede primero a su cuenta en Norteamérica y luego nuevamente en 10 minutos desde Europa, está claro que es sospechoso y podría indicar que dos personas diferentes están usando la misma cuenta.
Si existe el riesgo de fraude ATO, el sistema de prevención de fraude desafiará a la persona que realiza transacciones en la cuenta con una solicitud de autenticación adicional. Eso podría incluir el uso de un enfoque conocido como autenticación adaptativa o autenticación adaptativa inteligente. Al solicitar un nivel más alto de autenticación antes de que se permita realizar la transacción, como una huella biométrica o un escaneo facial, el banco puede ayudar a prevenir la apropiación de la cuenta. Si la autenticación es exitosa, la transacción puede continuar. En el caso de un delincuente, no podrá cumplir con el desafío biométrico y se detendrá el ataque de fraude.
Cómo los bancos pueden ayudar a prevenir el fraude por adquisición de cuentas
La autenticación de un solo factor (por ejemplo, contraseñas estáticas) pone en riesgo a las instituciones financieras y a los usuarios. La primera línea de defensa es utilizar la autenticación multifactor (MFA). Esto podría incluir datos biométricos como escaneo de huellas dactilares o reconocimiento facial , que son difíciles de suplantar.
La batalla por las cuentas bancarias de los clientes también debe librarse con el aprendizaje automático y el monitoreo continuo, o ver las transacciones a medida que ocurren, para ayudar a prevenir el fraude de apropiación de cuentas. Desde el momento en que un cliente llega a la página web de una sesión bancaria o abre su aplicación de banca móvil, el monitoreo continuo identifica el viaje en línea normal del cliente y las interacciones con sus cuentas y dispositivos.
El monitoreo continuo mediante el aprendizaje automático permite identificar nuevos comportamientos que podrían indicar un atacante o un bot. Los puntos de datos típicos que analizará un sistema de prevención de fraude incluyen: nuevos dispositivos, cookies, encabezados, referencias y ubicaciones. Estos se pueden monitorear en tiempo real para detectar discrepancias que no coincidan con el comportamiento habitual del cliente.
Esto se combina a la perfección con otras capas de protección, como la autenticación de dos factores (2FA) y las tecnologías que permiten la vinculación dinámica (también conocida como firma de datos de transacciones o autorización de transacciones). La vinculación dinámica es un requisito de la Directiva de servicios de pago revisada (PSD2) de Europa que garantiza que haya un código de autenticación único para cada transacción que sea específico para el monto de la transacción y el destinatario.
La importancia de la detección y prevención del fraude en tiempo real
El aprendizaje automático es muy eficaz para identificar ataques emergentes, mientras que las reglas de fraude son las mejores para combatir el fraude conocido. Sin la capacidad de detectar con precisión el fraude en tiempo real utilizando un motor de riesgo impulsado por aprendizaje automático, los equipos de fraude luchan por mantenerse al día con la actividad de los bots y otras técnicas de fraude de adquisición de cuentas emergentes y sofisticadas. Por ejemplo, la dirección de correo electrónico, el número de teléfono o la dirección particular de un cliente asociados con su cuenta bancaria, cuenta de tarjeta de crédito, cuenta de comercio electrónico o cuenta de lealtad cambian repentinamente en el sistema del banco. ¿Fue esta actividad una indicación de una toma de control de la cuenta o el cliente solicitó los cambios por razones legítimas? Para detener el ataque, es fundamental saberlo lo antes posible. Es por eso que la capacidad de detectar el fraude de apropiación de cuentas en tiempo real es vital.
ATO es implacable porque los escenarios de ataque siempre están evolucionando y constantemente se desarrollan nuevas herramientas para comprar en la Dark Web. Ahí es donde la inteligencia artificial, combinada con un sistema de detección de fraude continuo que utiliza reglas de fraude, puede ayudar.
Importancia estratégica de un sistema de prevención del fraude
El panorama de amenazas para el fraude de adquisición de cuentas se expande constantemente debido a la cantidad de métodos que los delincuentes pueden usar para obtener acceso a las cuentas de sus víctimas. Esto hace que sea especialmente difícil para las instituciones financieras construir un sistema eficiente para frustrar todos los escenarios posibles de adquisición de cuentas. Sin embargo, un sistema de prevención de fraude que se basa en una combinación de reglas antifraude y aprendizaje automático proporciona un análisis de riesgo en tiempo real que es mejor para detectar, mitigar y gestionar el fraude.