Nuevos métodos de fraude a cuentas de banca online

En artículos anteriores hemos descrito los escenarios más comunes de fraude a clientes de banca online.  En este post vamos a referirnos a un nuevo método que lleva ya algunos meses siendo puesto en práctica por  los delincuentes y que se está extendiendo y afectando a cada vez más entidades financieras en España.

Este nuevo método demuestra la gran creatividad e innovación de los ciberdelincuentes ya que consigue que sea la propia víctima la que “deliberadamente” realice y autorice una transferencia de fondos a una cuenta controlada por aquellos.

rosas41

El fraude se desarrolla de la siguiente manera:

  • El primer paso consiste en troyanizar el dispositivo de la víctima; esto es,  infectarlo con un programa troyano que de manera sigilosa se encarga de modificar dentro del propio navegador la página web descargada desde su banco, e incluyendo contenido fraudulento (es lo que se conoce como inyección de código).
  • Esta inyección de código hace que se muestre en pantalla un movimiento de ingreso ficticio en la cuenta de la víctima con el consiguiente incremento de su saldo (también ficticio, claro). En paralelo, además, se muestra un aviso en pantalla indicándole que este ingreso se ha realizado por error y que por favor proceda a hacer una transferencia para devolver el dinero, para lo que le facilita un link.
  • Para “facilitar” la tarea a la víctima, el troyano busca (¿en tiempo real?) una cuenta  controlada por los delincuentes donde poder recibir el importe y la introduce en la página de transferencias de la web del banco de la víctima, donde ésta, creyendo que está cumpliendo con un deber cívico, transferirá fondos de su propia cuenta a la de los delincuentes. Dado que es el cliente el que tiene la voluntad de realizar el pago, no tiene ningún problema en autenticar la operación con los mecanismos de seguridad habituales: clave de operaciones, código SMS de un sólo uso, etc…

rosas3

En los ataques tradicionales, la inyección de código suele ir orientada a engañar al cliente para que introduzca su datos privados, como las claves de banca online, números de tarjeta de crédito, etc. Estos datos son puestos a disposición de los delincuentes que luego los usarán para suplantar la identidad de la víctima y realizar operaciones fraudulentas.

El nuevo método que hemos descrito, sortea como se puede apreciar en gran medida las contramedidas efectivas que los bancos tienen desplegadas. La prevención de este tipo de escenarios pasa, entre otras, por la combinación de las siguientes medidas:

  • Concienciación de los usuarios por medio de avisos de seguridad que permitan la detección temprana por parte de las víctimas
  • Gestión automatizada de una lista negra de cuentas fraudulentas, para bloquear la operativa con destino a cuentas usadas por los defraudadores
  • Mecanismos automáticos de detección de inyecciones de código en los navegadores de los clientes y sistemas de detección de malware

rosas2

Un fuerte abrazo y gracias por la atención.

 

Anuncios