O que os bancos podem fazer para se proteger contra o esquema de vishing relatado por Krebs

Ben Balthazar, 6 de Maio de 2020
What Banks Can Do to Prevent the Krebs-reported Vishing Scam

Recentemente, me deparei com um artigo interessante de Brian Krebs que chamou minha atenção.

Neste artigo, “Em caso de dúvida: desligue, procure e ligue de volta” , Krebs conta a história de um de seus leitores, apelidado de "Mitch", que foi fraudado por US $ 9.800. Isso chamou minha atenção, porque Mitch é um leitor experiente em segurança cibernética e tecnologia. Você não esperaria que ele se apaixonasse por esses golpes.

O artigo fornece orientação sobre o que as pessoas podem fazer para se protegerem de golpes de desejo, mas não explora como o banco poderia ter detectado ou impedido o ataque. Neste post, faremos exatamente isso. Eu recomendo que você leia o artigo completo de Krebs no link acima, mas forneço um resumo do esquema abaixo. Se você já leu o artigo, pule a próxima seção e mergulhe na minha análise do ataque.

Resumo do artigo de Brian Krebs: “Em caso de dúvida: desligue, procure e ligue de volta”

Mitch recebeu uma ligação do que parecia ser sua instituição financeira, alertando-o sobre fraudes detectadas em sua conta. O primeiro instinto de Mitch foi bom. Ele verificou que o número usado pelo chamador correspondia ao que estava impresso no verso do cartão de débito. Sendo um especialista em segurança, Mitch sabia que os golpistas poderiam facilmente falsificar esse número de telefone. Ao mesmo tempo, ele checou seu banco on-line enquanto estava ao telefone. Mitch viu algumas cobranças fraudulentas e saques em caixas eletrônicos. Como o interlocutor não solicitou informações pessoais durante a ligação - e garantiu que o banco reverteria as cobranças - Mitch considerou o telefone como uma ligação genuína.

No dia seguinte, ele recebeu outra ligação sobre fraude em sua conta. Como algo parecia errado na ligação, ele decidiu ligar para o departamento de atendimento ao cliente do banco, mantendo a primeira ligação em espera. De alguma forma, o representante conseguiu verificar e confirmar que havia outra ligação ativa com Mitch. Isso o convenceu de que ele estava realmente falando com seu banco.

O interlocutor então disse a Mitch que eles enviariam uma senha de uso único (OTP) via mensagens de texto SMS para verificar sua identidade. Isso era algo que o banco havia feito no passado, então Mitch concordou. Ele recebeu o OTP e o leu de volta para o chamador. Na segunda-feira seguinte, quando Mitch checou seu banco on-line, ele viu uma transferência eletrônica de US $ 9.800 em sua conta. Mais tarde, ele descobriu que a transferência eletrônica foi para uma conta bancária on-line criada em seu nome pelos cibercriminosos.

Minha Análise do Ataque de Vishing

Os golpistas usaram um cartão desnatado para iniciar um esquema elaborado de engenharia social para roubar informações confidenciais, números de contas e dinheiro de Mitch. Eles também conseguiram cometer roubo de identidade e abrir uma nova conta bancária em nome de Mitch, que veremos mais adiante lhes permitiu evitar que a transação fosse sinalizada pelo banco.

Podemos culpar Mitch por se apaixonar pelas ligações vishing? Eu não acho que deveríamos. Enquanto Mitch cometeu alguns pequenos erros, ele mostrou bons reflexos. Mitch ligou para o seu banco logo no início, sabendo que os cibercriminosos poderiam falsificar o identificador de chamadas.

É importante perceber que Mitch tem mais conhecimento da indústria sobre golpes e engenharia social do que a maioria das pessoas, e ainda assim ele se apaixonou por isso. Conhecimento e conscientização não foram suficientes neste caso. Para evitar que esses golpes afetem outros clientes no futuro, o banco pode aproveitar ferramentas sofisticadas de detecção e prevenção.

Aqui estão quatro áreas de oportunidade nas quais o banco poderia melhorar sua estratégia de prevenção de fraudes e impedir futuras tentativas de vishing e fraude:

  • O banco utilizou uma senha de uso único enviada por SMS para validar um pagamento enviado pelo banco telefônico.
  • O sistema de detecção de fraudes do banco não considerou o comportamento usual do cliente e o uso do canal.
  • O pagamento fraudulento não foi sinalizado, porque a conta do beneficiário estava no mesmo nome da conta do pagador. O sistema de detecção de fraudes não considerou se o cliente havia usado anteriormente essa conta de beneficiário ou não.
  • O banco possuía controles inadequados de monitoramento e verificação para identificar e validar um pagamento ou ação suspeita na conta.

Como o banco poderia proteger Mitch melhor?

Senhas de uso único enviadas por SMS vs. Vinculação Dinâmica

Usar senhas de uso único do SMS para proteger uma conta bancária on-line não é uma boa prática. Além disso, o uso do SMS OTP para validar pagamentos é pior. As senhas de uso único do SMS são propensas a phishing, vishing, engenharia social, malware móvel e outros ataques. Além disso, eles não fornecem contexto para a transação. O contexto é importante, como demonstrado neste caso, porque fornece ao cliente o conhecimento do uso da senha descartável.

No exemplo de Mitch, o OTP estava sendo usado para autenticar a transferência eletrônica de US $ 9.800 iniciada por meio de serviços bancários por telefone. No entanto, quando ele recebeu a senha de uso único, lhe disseram que era para verificar sua identidade. Mitch não tinha como saber que esse mesmo código poderia ser usado por um invasor para lançar um pagamento em seu nome. Provavelmente duas mudanças importantes poderiam ter impedido esse ataque e muitas tentativas semelhantes de vishing e phishing:

  1. Ligação dinâmica : A vinculação dinâmica de uma senha descartável a um pagamento ou ação torna este OTP apenas utilizável para esse pagamento ou ação específica. Além disso, ao aplicar o vínculo dinâmico, deve haver um contexto fornecido ao usuário sobre o uso deste OTP. Em nosso exemplo, isso significa que a senha de uso único deve ter sido vinculada ao pagamento e os detalhes do pagamento devem estar visíveis e revisados por Mitch antes de inserir o OTP em qualquer lugar.
     
  2. Usando um canal de comunicação seguro: Isso se encaixa perfeitamente com o ponto anterior. Em vez de depender de um canal vulnerável como o SMS, o banco poderia ter aproveitado a tecnologia para fornecer um autenticador baseado em software a seus clientes. O autenticador pode ser um aplicativo independente ou até integrado ao aplicativo de mobile banking . Em vez de enviar ao cliente um SMS para um número de celular que poderia ter sido roubado (usando ataques de troca de SIM) ou roubado por malware móvel, o banco pode estabelecer um canal direto de comunicação com o usuário por meio de seu próprio aplicativo móvel. Isso permite que o banco implemente proteção adicional na comunicação, aproveitando a criptografia de ponta a ponta e a análise de dispositivos.

forro dinâmico

Com a vinculação dinâmica, os detalhes da transação ou operação fazem parte do processo de validação e geração de senha única. O usuário é apresentado com os detalhes ao gerar o OTP e o OTP pode ser usado apenas para validar esta operação específica. A vinculação dinâmica é uma ferramenta essencial para combater o phishing e a engenharia social, pois fornece contexto ao usuário quando ele está autorizando uma operação ou transação.

Se o banco tivesse implementado as alterações mencionadas acima, em vez de receber uma senha única via SMS, Mitch teria recebido uma notificação por push em seu telefone.

  • Ao abrir a notificação, o aplicativo perguntaria a Mitch se ele gostaria de autorizar o pagamento a seguir (e exibiria os detalhes do pagamento).
  • Mitch seria obrigado a verificar e confirmar a autorização com um PIN ou biométrico.
  • O aplicativo teria gerado uma senha descartável automaticamente e a devolvida ao banco.
  • Mesmo que a senha tenha sido interceptada, devido à vinculação dinâmica, ela só pode ser usada para verificar o pagamento que Mitch acabou de revisar - nada mais. Portanto, um invasor não seria capaz de usá-lo.

Comportamento habitual do cliente e uso do canal 

Embora a vinculação dinâmica e os canais seguros ajudem a interromper muitos ataques comuns, há muito o que fazer para proteger os clientes do banco. Em nosso exemplo, não parece que Mitch seja um usuário comum de serviços bancários por telefone. Ele tende a favorecer o canal bancário on-line. O banco poderia ter usado essa mudança no comportamento usual de Mitch, de banco on-line para telefone, combinada com uma transferência significativa para uma conta para a qual Mitch nunca transferiu, como um indicador de fraude. O banco poderia então ter realizado uma verificação adicional antes de processar o pagamento.

Conta de pagador e conta de beneficiário com o mesmo nome

Nosso terceiro ponto é interessante, porque demonstra que os atacantes podem ter tido uma visão dos processos do banco. Acontece que eles transferiram os fundos para uma conta aberta em nome de Mitch em um banco on-line. O banco então usou essas informações da conta para receber automaticamente o pagamento. Isso significa que seu banco calibrou sua solução de detecção de fraude para colocar um nível de confiança no processo de integração de outra instituição financeira - um processo sobre o qual eles não têm controle. O roubo de identidade é uma ocorrência comum e as instituições financeiras não podem confiar umas nas outras para isentar um pagamento de outros controles.

Controles inadequados de monitoramento e verificação

O último ponto é especulação, mas há sinais de que o processo de monitoramento de fraudes do banco não está maduro. Pode até ser que eles tenham as ferramentas certas, mas não sabem como usá-las corretamente. Um indicador para mim é o fato de que eles permitiram automaticamente esse pagamento, porque ele foi para uma conta com o mesmo nome.

Outra preocupação é que o sistema de monitoramento de fraudes não tomou medidas quanto às cobranças fraudulentas do cartão de crédito, porque os atacantes conseguiram colocar um aviso de viagem na conta. Este aviso de viagem informou o sistema a desconsiderar todos os alertas geográficos associados ao número do seu cartão de crédito naquele período.

No entanto, observe que Mitch acessou sua conta bancária on-line quando os fraudadores ligaram para ele. Isso significa que o banco pode ter notado que Mitch está acessando seu banco on-line da Califórnia enquanto usa seu cartão na Flórida. Esse tipo de informação entre canais geralmente não é utilizado corretamente pelos bancos, mas pode ser extremamente valioso na identificação de fraudes. De qualquer forma, isso poderia ter desencadeado uma investigação mais profunda por parte do departamento de fraude, que poderia ter identificado o esquema em andamento.

adicionando camadas complementares

Defesa em profundidade: adicionar camadas complementares aumenta a capacidade da organização de prevenir e detectar ataques.

Conclusão: Explore uma abordagem de segurança em várias camadas

Os fraudadores estão sempre trabalhando para desenvolver novas estratégias para contornar as equipes de fraude, e este exemplo no artigo de Krebs atesta isso. Por esse motivo, é essencial que as instituições financeiras utilizem sistemas mais sofisticados de detecção e prevenção de fraudes. Com o sistema certo e ferramentas de segurança, como vínculo dinâmico, juntamente com um canal de comunicação seguro e monitoramento contínuo de fraudes e comportamento , os bancos podem proteger os clientes de sofisticados esquemas de engenharia social, além de outros tipos de ataques de fraude, incluindo phishing, malware e muito mais.

Para saber mais sobre soluções dinâmicas de vinculação e fraude, explore estes recursos:

capa do ebook
eBook

Fraude de sequestro de conta: como proteger seu negócio e seus clientes

Como prevenir a fraude de sequestro de conta e proteger os clientes em cada estágio de sua jornada digital.

Baixar Agora

Ben Balthazar é consultor de fraude da OneSpan, ajudando instituições financeiras da Europa, Oriente Médio e Ásia a se defenderem contra o cibercrime financeiro. Ben iniciou sua carreira na OneSpan em 2014 e mudou-se da Bélgica para Dubai em 2016.