Cody Mullenaux y su familia. Mullenaux fue víctima de un sofisticado esquema de fraude electrónico que resultó en el robo de $120,000
Cortesía: Cody Mullenaux
Los bancos han gastado enormes cantidades en seguridad cibernética y detección de fraude, pero ¿qué sucede cuando las tácticas criminales son lo suficientemente sofisticadas como para engañar incluso a los empleados del banco?
Para Cody Mullenaux, significó tener más de $120,000 transferidos desde su cuenta corriente de Chase con pocas esperanzas de recuperar los fondos robados.
La saga de Mullenaux, propietario de una pequeña empresa de California de 40 años, comenzó el 19 de diciembre. Mientras hacía las compras navideñas para su hija pequeña, recibió una llamada de una persona que decía ser del departamento de fraudes de Chase y le pedía verificar una transacción sospechosa.
El número 800 coincidía con el servicio al cliente de Chase, por lo que Mullenaux no pensó que fuera sospechoso cuando la persona le pidió que iniciara sesión en su cuenta a través de un enlace seguro enviado por mensaje de texto con fines de identificación. El enlace parecía legítimo y el sitio web que se abrió parecía idéntico a su aplicación bancaria Chase, por lo que inició sesión.
“Nunca se me pasó por la cabeza que no estaba hablando con un representante legítimo de Chase”, dijo Mullenaux a CNBC.
Atrás quedaron los días en que lo único que un consumidor tenía que tener en cuenta era un correo electrónico o enlace sospechoso. Las tácticas de los ciberdelincuentes se han transformado en esquemas múltiples, con múltiples delincuentes actuando en equipo para implementar tácticas sofisticadas que involucran software listo para usar que se vende en kits que enmascaran números de teléfono e imitan las páginas de inicio de sesión del banco de la víctima. Es una amenaza generalizada que, según los expertos en seguridad cibernética, está impulsando un aumento en la actividad. Predicen que solo empeorará. Desafortunadamente, para las víctimas de estos esquemas, el banco no siempre está obligado a devolver los fondos robados.
Después de iniciar sesión, Mullenaux dijo que vio grandes cantidades de dinero moviéndose entre sus cuentas. La persona en el teléfono le dijo que alguien estaba en su cuenta tratando activamente de robar su dinero y que la única forma de mantenerlo a salvo era transferir dinero al supervisor del banco, donde se retendría temporalmente mientras aseguraban su cuenta.
Aterrorizado de que sus ahorros ganados con tanto esfuerzo estuvieran a punto de ser robados, Mullenaux dijo que se quedó al teléfono durante casi tres horas, siguió todas las instrucciones que le dieron y respondió preguntas de seguridad adicionales que le hicieron.
CNBC revisó los registros del celular de Mullenaux, la información de la cuenta bancaria, así como las imágenes del mensaje de texto y el enlace que se le envió.
Un equipo de estafadores
En una declaración a CNBC, un persecución El portavoz dijo: “Los bancos nunca pedirán a los consumidores o empresas que se envíen dinero a ellos mismos oa cualquier otra persona para evitar el fraude, pero los estafadores sí lo harán. Para confirmar que realmente está hablando con Chase, llame al número que figura en el reverso de su tarjeta o visite una sucursal”.
Cody Mullenaux, inventor y fundador de Aquaphant, una empresa de tecnología que convierte la humedad del aire en agua filtrada, con su equipo y su familia.
Cortesía: Cody Mullenaux
Pocos recursos para las víctimas de estafas electrónicas
Los estafadores aprovecharon lagunas regulatorias
Sofisticadas tácticas de estafa en aumento
Los ciberdelincuentes no solo atacan a los clientes de Chase con estos esquemas sofisticados. El verano pasado, IronNet descubrió una plataforma de "phishing como servicio" que vende kits de phishing listos para usar a los ciberdelincuentes que se dirigen a empresas con sede en los EE. UU., incluidos los bancos. Los kits personalizables pueden costar tan solo $ 50 por mes e incluyen códigos, gráficos y archivos de configuración para parecerse a las páginas de inicio de sesión del banco.
Joey Fitzpatrick, gerente de análisis de amenazas en IronNet, dijo que si bien no puede decir con certeza si Mullenaux fue defraudado así, "el ataque contra él tiene todas las características de los atacantes que aprovechan el mismo tipo de herramientas multimodales que el phishing, como -a-las plataformas de servicios brindan”.
Espera que las ofertas de tipo "como servicio" sigan ganando terreno, ya que los kits no solo bajan el listón para que los ciberdelincuentes de nivel bajo a medio creen campañas de phishing, sino que también permiten que los delincuentes de nivel superior se concentren. en una sola área y desarrollar tácticas y malware más sofisticados.
“Hemos visto un aumento del 10 % en la implementación de kits de phishing solo en enero de 2023”, dijo Fitzpatrick.
En 2022, la empresa experimentó un aumento del 45 % en las alertas y detecciones de phishing.
Pero no son solo los esquemas de phishing en aumento, son todos los ataques cibernéticos. Los datos de Check Point mostraron que en 2022 hubo un aumento del 52 % en los ciberataques semanales en el sector financiero/bancario en comparación con los ataques en 2021.
“La sofisticación de los ataques cibernéticos y los esquemas de fraude ha aumentado significativamente durante el último año”, dijo Sergey Shykevich, gerente del grupo de amenazas de Check Point. “Ahora, en muchos casos, los ciberdelincuentes no confían solo en enviar correos electrónicos de phishing/maliciosos y esperar a que las personas hagan clic en ellos, sino que lo combinan con llamadas telefónicas, ataques de fatiga MFA [autenticación multifactorial] y más”.
Ambos expertos en seguridad cibernética dijeron que los bancos pueden hacer más para educar a los clientes.
Shykevich dijo que los bancos deberían invertir en una mejor inteligencia de amenazas que pueda detectar y bloquear los métodos que usan los ciberdelincuentes. Un ejemplo que dio es comparar un inicio de sesión con la "huella digital" digital de una persona, que se basa en datos como el navegador que usa una cuenta, la resolución de la pantalla o el idioma del teclado.
El mejor consejo: cuelgue el teléfono
Fuente: https://www.cnbc.com/2023/02/06/phishing-as-a-service-kits-drive-uptick-in-theft-one-business-owners-story.html