Brian Krebs, experto en seguridad cibernética, ha venido advirtiendo sobre una modalidad utilizada por ciberdelincuentes para robar cuentas bancarias: SMS phishing + cardless ATM = Beneficio.
Con esa fórmula (mensajes de texto de sitios de suplantación de identidad + cajeros automáticos sin tarjeta = Beneficio) ha resumido esta metodología combinada de ataques desde sitios falsos, basados en SMS, para convertir rápidamente las credenciales de las cuentas bancarias de phishing en efectivo.
Y es que los cibercriminales se siguen abriendo paso con las innovaciones tecnológicas y han aprovechado esta oportunidad que ofrece una buena cantidad de instituciones financieras para hacer transacciones en cajeros automáticos, sin tarjetas, lo que permite a los clientes retirar dinero utilizando sus teléfonos móviles.
“Pero esto también crea una vía de fraude para los malos, que pueden aprovechar las credenciales de las cuentas robadas para agregar un nuevo número de teléfono a la cuenta del cliente y luego usar ese dispositivo agregado para desviar efectivo de las cuentas secuestradas en cajeros automáticos sin tarjeta”.
Para sustentar su advertencia, ha recordado lo ocurrido con la institución financiera Fifth Third Bank, con sede en Cincinnati, Ohio, lo que arrojó luz sobre la metodología de esta nueva estafa.
En el banco se comenzaron a escuchar quejas de clientes que recibían SMS phishing en sus teléfonos, remitidos supuestamente desde la entidad, donde les indicaban que sus cuentas habían sido bloqueadas.
Esos mismos mensajes de texto contenían un enlace para desbloquear sus cuentas, provocando que los clientes se redirigieran a un sitio web que imitaba el portal legítimo del Fifth Third.
“El sitio de suplantación de identidad solicitó a los visitantes que ingresaran sus credenciales de cuenta, incluidos nombres de usuario, contraseñas, códigos de acceso únicos y números de PIN, para desbloquear sus cuentas”.
Entonces, ha explicado que, al ingresar toda esa información, inmediatamente se convertían en nuevas víctimas de los cibercriminales.
Krebs ha señalado que esa estafa obtuvo credenciales de aproximadamente 125 clientes del Fifth Third, la mayoría de ellos ubicados en Cincinnati o en sus alrededores.
Fue así como los ciberdelincuentes utilizaron los datos de phishing para retirar 68 mil dólares de 17 cajeros automáticos en Illinois, Michigan y Ohio, en menos de dos semanas, utilizando la función de cajero automático sin tarjeta de que ofrece el banco.
Ciberataque SMS phishing en progreso
El experto ha obtenido documentos judiciales sobre el SMS phishing y los retiros fraudulentos en cardless ATM, donde se ha admitido que las estafas continuaron y generaron 40 mil dólares adicionales para los ciberdelincuentes.
El banco se enfocó en cuatro personas sospechosas de perpetrar la ola de delitos y, poco después, cuatro hombres fueron arrestados en relación con los crímenes, lo que parecía ponerle fin a esta ola de delitos informáticos en esa institución financiera.
“Uno de ellos, identificado como Ciprian-Raducu Antoche-Grecu, fue detenido en un suburbio de Cincinnati mientras se encontraba en el mismo cajero automático de Fifth Third donde se observó que realizaba actividades fraudulentas, alegan los investigadores”.
Una mujer de California también observó cómo se agotaban casi tres mil dólares de su cuenta a través de un cardless ATM, operado por Chase Bank.
Los ladrones ni siquiera necesitaban conocer su PIN de cajero automático en esta oportunidad, inclusive, pudieron usar un número de teléfono y un dispositivo móvil que controlaban para asociarlo con su cuenta de Chase simplemente proporcionando su nombre de usuario y contraseña.
Este ataque, según Krebs, ha confirmado que las estafas de cajeros automáticos sin tarjeta no son nuevas, pero son cada vez más frecuentes a medida que los bancos recurren a la tecnología de cardless ATM como un beneficio para los clientes.
Clientes prefieren cardless ATM
Mastercard, a través de una encuesta, reveló que el 78 % de los consumidores preferiría usar una solución de cajero automático, sin tarjeta, que llevar una tarjeta física.
Krebs apostaría a que la mayoría de los tarjetahabientes de Estados Unidos, en ese entonces, no habían oído hablar de cajeros automáticos sin tarjeta y, mucho menos, podría decir si su banco ofrece o no tales transacciones.
“Mientras tanto, recuerde nunca responder a solicitudes de información personal o financiera enviadas por correo electrónico, mensaje de texto o por teléfono. Los ataques de phishing basados en el teléfono son cada vez más inteligentes e incluso son expertos en tecnología, como muestra la historia del mes pasado”, advirtió el investigador.
Además, ha exhortado a los clientes bancarios a comunicarse directamente con su institución financiera, en caso de dudas, ya sea personalmente o por teléfono, utilizando el número que se encuentra en el reverso de las tarjetas.