Los grupos de phishing como servicio aumentan las tasas de robo: la historia del propietario de un negocio

Los bancos han gastado enormes cantidades de dinero en seguridad cibernética y detección de fraude, pero ¿qué sucede cuando las tácticas criminales son lo suficientemente sofisticadas como para engañar a los empleados del banco?

Para Cody Molyneux, eso significó más de $120,000 transferidos de la cuenta corriente de Chase con pocas esperanzas de recuperar el dinero robado.

La saga de Mullenaux, un pequeño empresario de 40 años de California, comenzó el 19 de diciembre. Mientras hace las compras navideñas para su pequeña hija, recibe una llamada de alguien que dice ser de la división de fraudes de Chase y le pide que verifique una transacción sospechosa.

El servicio de atención al cliente de Chase cumplió con el número 800, por lo que Mullenaux no pensó que fuera sospechoso cuando la persona le pidió que iniciara sesión en su cuenta a través de un enlace seguro enviado por mensaje de texto con fines de identificación. El enlace parecía legítimo y el sitio web que se abría era idéntico a su aplicación bancaria Chase, por lo que inició sesión.

“Nunca se me ocurrió que no había hablado con el representante legítimo de Chase”, dijo Molyneux a CNBC.

Atrás quedaron los días en que lo único que un consumidor tenía que temer era un correo electrónico o enlace sospechoso. Las tácticas de los ciberdelincuentes se han convertido en esquemas de varios frentes, con múltiples delincuentes que se unen para implementar tácticas sofisticadas que involucran software listo para usar vendido en lotes que ocultan números de teléfono e imitan las páginas de inicio de sesión del banco de la víctima. Es una amenaza generalizada que, según los expertos en ciberseguridad, está impulsando un aumento de la actividad. Esperan que las cosas empeoren. Desafortunadamente, para la víctima de estos esquemas, el banco no siempre está obligado a devolver el dinero robado.

Después de iniciar sesión, Molyneux dijo que vio grandes cantidades de dinero moviéndose entre sus cuentas. La persona que hablaba por teléfono le dijo que alguien en su cuenta estaba tratando activamente de robar su dinero y que la única forma de conservarlo era transfiriéndolo al supervisor del banco, donde se mantendría temporalmente mientras su cuenta estaba protegida.

Aterrorizado de que sus ahorros ganados con tanto esfuerzo estuvieran a punto de ser robados, Molyneux dijo que se quedó al teléfono durante unas tres horas, siguió todas las instrucciones que le dieron y respondió las preguntas de seguridad adicionales que le hicieron.

CNBC revisó los registros del celular de Mullenaux, la información de la cuenta bancaria, así como las fotos del mensaje de texto y el enlace que envió.

Lo que Molyneux, inventor y fundador de Aquaphant, una empresa de tecnología que convierte la humedad del aire en agua filtrada, no sabía era que la persona que hablaba por teléfono formaba parte de un sofisticado equipo de ciberdelincuentes.

Mientras Mullenaux hablaba con este representante ficticio de la división de fraudes, un segundo estafador que se hacía pasar por Mullenaux estaba en otra llamada telefónica con Chase para autorizar transferencias electrónicas. Todas las respuestas a las preguntas de seguridad planteadas a Mullenaux fueron enviadas al segundo impostor. Esto permitió a los estafadores brindar las respuestas correctas y convencer a un empleado de Chase de que estaban hablando con el titular de la cuenta.

El truco funcionó. Una vez que un empleado de Chase estuvo seguro de que Mullenaux había solicitado autorización para las tres transferencias electrónicas, más de $120,000 desaparecieron de su cuenta bancaria y, a pesar de sus mejores esfuerzos, no se recuperó nada.

En una declaración a CNBC, A.J. Persecución El portavoz dijo: “Los bancos nunca pedirán a los consumidores o empresas que se envíen dinero a sí mismos o a cualquier otra persona para evitar el fraude, pero los estafadores sí lo harán. Para confirmar que está hablando con Chase, llame al número que figura en el reverso de su tarjeta o visite una sucursal”. .”

Molyneux dijo que se siente frustrado y derrotado por su experiencia tratando de recuperar el dinero robado.

“No importa lo que hagan para tratar de proteger a los clientes, los estafadores siempre van un paso por delante”, dijo Molyneux, y agregó que su dinero habría estado más seguro en una caja de zapatos que en un banco grande al que apuntan los ciberdelincuentes.

La FTC recomienda que cualquier cliente que crea que puede haber enviado dinero a los estafadores a través de una transferencia bancaria debe comunicarse de inmediato con su banco, informar la transferencia fraudulenta y solicitar que se revierta.

La Comisión Federal de Comercio le dijo a CNBC que el tiempo es esencial cuando se trata de recuperar fondos enviados a través de una transferencia bancaria fraudulenta. La agencia dijo que las víctimas también deben denunciar el delito a la agencia, así como al Centro de Quejas de Delitos en Internet del FBI, el mismo día o al día siguiente, si es posible.

Molyneux dijo que se dio cuenta de que algo andaba mal a la mañana siguiente cuando su dinero no fue devuelto a su cuenta.

Inmediatamente fue a una sucursal local del banco Chase donde le dijeron que era probable que fuera víctima de un fraude. El asunto no se trató con ningún sentido de urgencia, dijo Molyneux, y no se ofreció como opción intentar una transferencia bancaria inversa, que la FTC sugiere que requieren los clientes.

En cambio, dijo Molyneux, un empleado de la sucursal le dijo que recibiría un paquete por correo dentro de los 10 días que podría empacar para presentar un reclamo. Mullenaux ordenó inmediatamente el paquete. Lo llenó y lo envió el mismo día.

Este reclamo, así como un segundo reclamo presentado por Mullenaux ante el ejecutivo, fue desestimado. Los empleados que investigan el asunto dijeron que se contactó a Mullenaux para aprobar las transferencias electrónicas.

CNBC proporcionó a Chase los registros del teléfono celular de Molyneux que mostraban que no hizo llamadas telefónicas salientes a Chase el día en cuestión. Los registros también indican, en comparación con los registros de transferencias electrónicas, que no pudo haber sido Mullenaux quien se comunicó con Chase para permitir las transferencias electrónicas porque las tres fueron autorizadas y aprobadas mientras Mullenaux aún hablaba por teléfono con los estafadores.

Sin embargo, esto no cambió la decisión del banco y, una vez más, el reclamo de Mullenaux fue denegado porque había compartido su información privada con los delincuentes.

Ya sea que los estafadores se dieran cuenta o no de que lo estaban haciendo, explotaron con éxito dos lagunas en la legislación de protección al consumidor existente que resultó en que Chase no tuviera que reemplazar los fondos robados de Mullenaux. Legalmente, los bancos no tienen que devolver el dinero robado cuando se engaña a un cliente para que envíe dinero a los ciberdelincuentes.

Sin embargo, según la Ley de transferencia electrónica de fondos, que cubre la mayoría de los tipos de transacciones electrónicas, como pagos entre pares y pagos o transferencias en línea, los bancos deben reembolsar a los clientes cuando se roba dinero sin la autorización del cliente. Desafortunadamente, las transferencias electrónicas, que implican transferir dinero de un banco a otro, no están cubiertas por la ley, que también excluye el fraude relacionado con cheques en papel y tarjetas prepagas.

Los ciberdelincuentes también transfirieron dinero de las cuentas personales y de ahorros de Molyneux a su cuenta comercial antes de que comenzaran las transferencias electrónicas. La Regulación E, diseñada para ayudar a los consumidores a recuperar su dinero de una transacción no autorizada, solo protege a las personas, no a las cuentas comerciales.

Un representante de Chase dijo que se está llevando a cabo una investigación mientras el banco intenta recuperar el dinero robado.

Esto es algo por lo que Molyneux dice que reza. “Rezo para que esta tragedia se pueda reconciliar de una forma u otra [bank] La gerencia ve lo que me pasó y me devuelve el dinero”.

Molyneux también presentó informes a la policía local y al Centro de Quejas de Delitos en Internet del FBI, pero ninguno de los dos lo contactó sobre su caso.

Los clientes de Chase no solo son el objetivo de los ciberdelincuentes con estos esquemas sofisticados. El verano pasado, IronNet presentó una plataforma de “phishing como servicio” que vende kits de phishing listos para usar a los ciberdelincuentes que apuntan a empresas con sede en los EE. UU., incluidos los bancos. Las suites personalizables pueden costar tan solo $ 50 por mes e incluyen códigos, gráficos y archivos de configuración para parecerse a las páginas de inicio de sesión del banco.

Joy Fitzpatrick, director de análisis de amenazas de IronNet, dijo que si bien no puede decir con certeza si Mullenaux fue defraudado así, “el ataque contra él tiene todas las características de los atacantes que utilizan el mismo tipo de herramientas multimedia que las plataformas de servicios de phishing. proporcionar.”

Él predice que las ofertas “como servicio” seguirán cobrando fuerza a medida que los grupos no solo reduzcan a los ciberdelincuentes de nivel bajo a medio para crear campañas de phishing, sino que también permitan que los delincuentes de nivel superior se concentren en un área y desarrollen soluciones más sofisticadas. tácticas y malware. .

“Vimos un aumento del 10 % en la publicación de grupos de phishing solo en enero de 2023”, dijo Fitzpatrick.

En 2022, la empresa experimentó un aumento del 45 % en las alertas y detecciones de phishing.

Pero no son solo los esquemas de phishing en aumento, son todos los ataques cibernéticos. Los datos de Check Point en 2022 mostraron que hubo un aumento del 52 % en los ciberataques semanales en el sector financiero/bancario en comparación con los ataques en 2021.

“La sofisticación de los ataques cibernéticos y los esquemas de fraude ha aumentado drásticamente durante el año pasado”, dijo Sergey Shekevich, Gerente del Grupo de Amenazas en Check Point. Ahora, en muchos casos, los ciberdelincuentes no solo confían en enviar correos electrónicos engañosos/maliciosos y esperar a que las personas hagan clic en ellos, sino que los combinan con llamadas telefónicas, MFA [multifactor authentication] Ataques de fatiga y más.

Los dos expertos en seguridad cibernética dijeron que los bancos podrían hacer más para educar a los clientes.

Shekevich dijo que los bancos deberían invertir en una mejor inteligencia de amenazas que pueda detectar y bloquear las tácticas utilizadas por los ciberdelincuentes. Un ejemplo que dio es comparar un inicio de sesión con la “huella digital” digital de alguien, que se basa en datos como el navegador que usa la cuenta, la resolución de la pantalla o el idioma del teclado.

Hubo una cosa en la que Chase, las agencias federales y los expertos en seguridad cibernética estuvieron de acuerdo: si un cliente recibe una llamada telefónica de su banco y la persona comienza a pedir información, cuelgue y llame al banco usted mismo.

“Si un consumidor recibe repentinamente una llamada, un mensaje de texto o un correo electrónico de alguien que dice ser de su banco, avisándole que hay un problema, el consumidor debe colgar (o eliminar el mensaje de texto/correo electrónico y no hacer clic en los enlaces) y trate de comunicarse con el banco a un número de teléfono que sepa que es real”, dijo un vocero de la FTC.

Los ciberdelincuentes tienen la capacidad de hacerse pasar por la persona que llama y pueden usar información personal robada para engañar a la víctima para que entregue dinero.

Envíe sugerencias por correo electrónico a Investigaciones @ cnbc.com