Visto: 160

Los estafadores están falsificando los números de teléfono de los bancos para robar a las víctimas

Inicio desactivadoInicio desactivadoInicio desactivadoInicio desactivadoInicio desactivado
 

“Puede comprobar el número en su pantalla, señor. Verá que realmente estoy llamando desde su banco ". Puede ser un truco muy convincente ...

Eso es, por supuesto, si no esta al tanto de que los números de teléfono pueden ser falsificados. Por otra parte, no serían estafadores exitosos si no fueran convincentes. Si sugieres que les devolverás la llamada, te dirán que es imposible llamar a su extensión directamente y que tendrás que pasar por el operador de la oficina central. Lo cual podría llevar un tiempo y debido a la urgencia, eso no es realmente una opción ahora, ¿cierto?

 

¿Qué es Spoofing?

La definición de Spoofing (suplantación de identidad) es: mostrar características que no le pertenecen, con el fin de asumir una identidad falsa. Hemos hablado sobre la suplantación de correos electrónicos en el pasado, pero en este caso estamos hablando de la suplantación de identidad de llamadas. La suplantación de identidad de llamadas se produce cuando alguien que llama a su teléfono falsifica deliberadamente la información transmitida a la pantalla de identificación de llamadas para disfrazar su identidad.

Normalmente, la pantalla indica el número de teléfono y el nombre asociados con la línea utilizada para llamarlo. Pero hay servicios que le permiten mostrar cualquier identificador de llamadas falsificado. Algunos proveedores de voz sobre IP (VoIP) simplemente permiten que el usuario configure su número mostrado como parte de la página de configuración en la interfaz web del proveedor.

 

¿Cómo funciona esta estafa?

El estafador llama a la víctima falsificando un número de teléfono que pertenece al banco. Y el estafador viene preparado con suficiente información sobre la cuenta bancaria de la víctima para poder sacarle las últimas dudas. Le dicen a la víctima que ha notado una actividad inusual en la cuenta bancaria de la víctima y le aconsejan urgentemente que coloque su dinero en una cuenta diferente.

Si la víctima indica que solo tiene una cuenta, el estafador le ofrece la llamada "cuenta de bóveda" del banco. El estafador explica que dicha cuenta es un lugar seguro para su dinero. Es posible que su dinero no esté disponible en dicha cuenta durante unos días, pero eso es mejor que ser robado a ciegas, ¿no es así? Si la víctima comienza a hacer muchas preguntas, el estafador dirá que no hay tiempo que perder debido al peligro de perderlo todo ante una entidad desconocida. Por supuesto, la "cuenta de la bóveda" pertenece al estafador y todo el teatro está diseñado para que la víctima transfiera sus pertenencias a esa cuenta.

 

Información adicional del phishing

Lo que hace que esto sea más exitoso es que los estafadores realmente estan preparados al hacer la llamada. Pueden decirle cuánto tiene en su cuenta y quién recibió sus últimos pagos. Existen algunas teorías acerca de cómo los estafadores obtienen esa información. Algunos incluso llegan a afirmar que conocen a alguien que trabaja en el banco. Esto explicaría mucho, pero algunas víctimas admitieron haber recibido un correo de phishing poco antes de la llamada.

Si las víctimas han hecho clic en el enlace de ese correo y han iniciado sesión en el sitio web del banco falso del estafador, esto no solo explica cómo los estafadores obtuvieron la información, sino que también agrega credibilidad a la historia del estafador en el teléfono. Después de todo, el intento de phishing podría haber resultado en un acceso no autorizado. Lo que le da al escenario de "información privilegiada" algo de credibilidad adicional es el hecho de que algunas víctimas habían aumentado recientemente sus límites de transacción porque necesitaban hacer algunos pagos importantes.

Los sitios de phishing reflejan el sitio del banco y el phisher puede seguir la entrada de la víctima en el sitio del banco real. Esto les permite ver los detalles de la cuenta después de iniciar sesión y los equipa con información que pueden usar durante la llamada telefónica.

 

Medidas de seguridad bancaria

Si la información que el estafador tiene sobre la cuenta de la víctima proviene de un intento de phishing y el banco usa un método de inicio de sesión 2FA, entonces la información de inicio de sesión se volverá obsoleta con bastante rapidez. Un phish exitoso permite al estafador iniciar sesión, pero generalmente solo una vez. Pueden mirar a su alrededor y recopilar información para preparar su llamada. Cualquier acción posterior, como realizar un pago o cambiar la configuración de 2FA, tendría que ser autorizada por separado, y tal solicitud probablemente haría sospechar a la víctima.

Lo que descubrieron los investigadores de un programa de televisión holandés para consumidores es que algunos bancos tienen más probabilidades que otros de ser atacados. Los investigadores sospechan que los clientes de los bancos que utilizan un lector de tarjetas para escanear códigos QR para autorizar inicios de sesión y pagos son menos vulnerables que los que envían mensajes de texto. Esto podría deberse a que es más difícil imitar los códigos QR en el sitio de phishing bancario que crear un campo de entrada para el código de verificación.

Otra protección contra fallas que el estafador intentará eludir, si es necesario, son los límites de transacción que están establecidos por defecto para algunos bancos. A menudo, estos se limitan a cantidades bastante pequeñas y los clientes tendrán que aumentar el límite si quieren hacer pagos más grandes. Cuando el banco le pide que aumente este límite en lugar de al revés, debería ser una señal de alerta. Recuerda que pueden hacerlo por ti en caso de una emergencia real.

 

Las secuelas de un ataque de suplantación de identidad

Los estafadores intentarán asegurarse de que las víctimas no se den cuenta de inmediato de que han sido engañados, por lo que los estafadores pueden hacer que el dinero desaparezca de la cuenta objetivo para evitar que se reviertan los pagos.

Con algunos bancos tendrá un seguro contra el fraude bancario, pero otros bancos dirán que la víctima transfirió los fondos por sí misma y no aceptará ninguna responsabilidad por la pérdida. En la mayoría de los países, las cuentas bancarias están protegidas por ley contra pagos fraudulentos bajo ciertas condiciones. Una de estas condiciones puede describirse generalmente como "el cliente no debe ser descuidado", y un cliente puede ser visto como descuidado si revela sus credenciales de inicio de sesión. Si el ingresar esas credenciales en un sitio de phishing bancario que se ve exactamente como el que pertenece al banco es un acto descuidado, parece ser tema de debate.

Por lo tanto, en el peor de los casos, no solo se sentiría avergonzado porque cayo en la trampa de la estafa, sino que también podría ser etiquetado como descuidado y perder el dinero en su cuenta.

 

El futuro de la suplantación de identidad de llamadas

La suplantación de identidad de llamadas ha estado causando problemas desde el 2004, cuando se abrió un servicio para permitir la realización de llamadas falsificadas desde una interfaz web. En 2018, mencionamos un método de suplantación de identidad de llamadas llamado "suplantación de vecinos". La suplantación de vecinos era un método popular entre las personas que llamaban en frío que usaban el mismo código de área y prefijo telefónico de la persona a la que se llama. La suplantación de identidad de llamadas es generalmente legal en los Estados Unidos a menos que se haga “con la intención de defraudar, causar daño u obtener ilegalmente algo de valor”. En 2019, se firmó la Ley TRACED, la primera ley federal diseñada para frenar las llamadas automáticas no deseadas.

SEC. 7. Proteccion contra llamadas de suplantación de identidad
EN GENERAL. — No mas de 1 año después de la fecha de promulgación de esta Ley, y de conformidad con los marcos de autenticación de llamadas bajo la sección 4, la misión del Comité 15 iniciará una reglamentación para ayudar a proteger al suscriptor de recibir llamadas o mensajes de texto no deseados de una persona que llama utilizando un número no autenticado.

 

STIR / SHAKEN (Revuelto / No agitado)

Una herramienta útil para configurar dicha protección es el marco STIR/SHAKEN, que es una medida de autenticación y verificación del identificador de llamadas. STIR y SHAKEN son acrónimos de los estándares Secure Telephone Identity Revisited (STIR) y Signature-based Handling of Asserted Information Using toKENs (SHAKEN). STIR/SHAKEN valida digitalmente el traspaso de las llamadas telefónicas que pasan a través de la compleja red de redes, lo que permite a la compañía telefónica del consumidor que recibe la llamada verificar que la llamada es, de hecho, del número que se muestra en el identificador de llamadas. La Comisión Federal de Comunicaciones (FCC) está liderando el impulso para que la industria adopte estos estándares para ayudar a los consumidores lo más rápido posible.

Siempre y cuando otros países decidan hacer algo más que ilegalizar la suplantación de identidad de llamadas, preferiblemente implementando y adhiriéndose al marco STIR/SHAKEN, esto hará que los consumidores de todo el mundo sean un poco más seguros y hará que la estafa que discutimos sea mucho más difícil de resolver.

Mientras tanto, ¡manténganse a salvo!

 

Fuente de información: https://blog.malwarebytes.com/social-engineering/2020/10/scammers-are-spoofing-bank-phone-numbers-to-rob-victims/