¿Qué información necesitan los estafadores para retirar dinero de una cuenta?

Hay una historia actualmente en el sitio web de noticias de la BBC . Los puntos relevantes son:

  1. Los estafadores llamaron a Alex haciéndose pasar por BT (proveedor de telecomunicaciones).
  2. Alex proporcionó información/ayuda a los estafadores
  3. Los estafadores realizaron pagos que vaciaron la cuenta de £ 180,000 dentro de las 24 horas
  4. Pagos etiquetados, p. "Pago de facturas a través de un pago más rápido a Radu Reference Web Inv 793, Mandato No 127 £2,500.00 £34,617.11"
  5. El banco inicialmente rechazó la responsabilidad, citando negligencia grave
  6. Financial Ombudsman Service falló a favor de Alex

¿Qué información/ayuda necesitaría un estafador para realizar estos pagos?

Siento que si la respuesta es "todo lo que normalmente usas para ingresar a tu cuenta y hacer pagos", entonces el reclamo del banco por negligencia grave por parte de Alex es justificable. Si la respuesta es algo más, me gustaría saberlo.

Todo depende de la entidad financiera. Con una empresa en la que solía realizar operaciones bancarias, todo lo que necesitaban saber era que tenía una cuenta allí. Hicieron ingeniería social para retirar dinero, aunque era una cantidad pequeña en comparación con el caso que cita.
Cuando pregunta: "¿Qué información/ayuda necesitaría un estafador para realizar estos pagos?" - ¿Puede aclarar: está tratando de entender qué sucedió con este caso específico, o está tratando de entender todas las formas posibles en que un estafador podría retirar dinero de su cuenta? ¿O simplemente el método "más fácil" o "mínimo necesario"?

Respuestas (3)

Desde el enlace en la respuesta de Vicky, los estafadores necesitaban acceso a la computadora de la víctima (o que las víctimas transfirieran el dinero, o acceso general a la cuenta de la víctima) y que la víctima leyera las contraseñas de un solo uso que estaban pidiendo. Esta fue una estafa social, no una estafa técnica.

Por otro lado, parece que estaban apuntando al banco Santander por una razón, y esa razón parece ser la prevención del fraude de baja calidad.

  • Existe la expectativa de que el banco estará atento a las transacciones inusuales, y estas deberían haber sido transacciones inusuales. En muchos casos, estos no fueron marcados como tales.
  • Incluso cuando se marcaron como transacciones inusuales, Santander no fue diligente en contactar al cliente y no permitió que la transacción se llevara a cabo.
  • Santander estaba pidiendo al cliente contraseñas de un solo uso sin incluir también el contexto. Esto permitió a los estafadores fingir que la transferencia tenía un propósito diferente.
  • Algunas de las víctimas insisten en que nunca recibieron los mensajes de contraseña de un solo uso, pero la transferencia se realizó de todos modos. Esto podría indicar que los estafadores pudieron cambiar el número de teléfono asociado con la cuenta sin crear una alerta. (Para ser claros, las víctimas podrían estar mintiendo; este es un crimen algo vergonzoso, y es natural negar la responsabilidad. Aún así, este es un detalle sospechoso).

Al final, el banco tiene el tiempo y el conocimiento necesarios para mantenerse al tanto de las últimas estafas; sus clientes no.

Bueno, ellos (presumiblemente deliberadamente) no han publicado los detalles de los métodos que usaron los estafadores, por lo que ninguno de nosotros puede decirlo. La historia de la BBC es muy ligera en detalles, pero dice que ella fue víctima de una "estafa sofisticada" y que fue "engañada para que entregara detalles de seguridad confidenciales".

Todo lo que realmente importa es que el Defensor del Pueblo Financiero, que tenía detalles de lo que sucedió, se ha puesto del lado de Alex y, por lo tanto, el banco tiene que pagarle a Alex por las pérdidas.

[Editar: con más búsquedas en Google, hay muchos más detalles aquí: https://www.thisismoney.co.uk/money/beatthecammers/article-4358442/Santander-fraud-victims-tell-angustia.htmlincluyendo que el Servicio del Defensor del Pueblo Financiero encontró debilidades significativas en los sistemas de seguridad de Santander y también descubrió que no tomaron medidas para prevenir o incluso controlar el patrón muy inusual de retiros, que una persona razonable podría considerar que deberían hacer]. Esta pregunta realmente se siente equivalente a "este periódico dice que la persona X fue arrestada por los cargos de asesinar a la persona Y, pero la persona X fue absuelta en el juicio. ¿Qué necesitarías para asesinar a una persona porque si realmente es tan simple como golpearla con un martillo, entonces puedo No veo por qué la persona X habría sido absuelta". Fundamentalmente: sin todos los detalles, no podemos juzgar.

Si la pregunta fuera "¿qué usaron estos estafadores?", entonces esta sería la respuesta correcta. Estaba tratando de hacer la pregunta "¿Cuál es el conjunto de información que debe protegerse para evitar que los estafadores limpien su cuenta bancaria?". Si la respuesta es "su nombre de usuario y contraseña", entonces estoy a salvo, pero no parece ser una estafa muy sofisticada. Sospecho que la respuesta puede ser "solo su banco puede decírselo, y ellos no lo dirán". Parece algo realmente importante saberlo.
Creo que te estás perdiendo el punto. Obviamente, "nombre de usuario y contraseña" es una forma de entrar, pero a) no tenemos idea de si los estafadores usaron ese o algún otro medio yb) cualquiera puede ser víctima de una estafa de ingeniería social sofisticada, por ejemplo, suponga que pensó que estaba hablando con su banco (pero no lo eras) y te pidieron los caracteres 1 y 5 de tu contraseña para autenticarte, totalmente normal, ¿verdad? Repita eso 3 o 4 veces y los estafadores tendrán su contraseña completa.
@Vicky No, eso no es totalmente normal y nunca debería suceder. Solo los hash de contraseñas deben ser almacenados por un banco u otro sitio seguro. Por diseño, los hash no permiten verificar contraseñas parciales. El único momento para revelar cualquier parte de la contraseña es escribiendo en el campo de contraseña de una página de inicio de sesión segura.
@nanoman: Es normal que el banco utilice la misma contraseña para la banca telefónica que para la banca por Internet. Y aunque no sea normal en Santander, la gente se acostumbrará a hacerlo porque algunas empresas/bancos lo hacen. Personalmente, me niego a pasar por seguridad si mi banco me llama (incluso cuando estoy bastante seguro por el contexto de que en realidad son ellos) y les devuelvo la llamada a un número conocido, pero lo han normalizado para que la mayoría de la gente no lo haga. ser tan paranoico.
@nanoman Banks almacena contraseñas completas de texto sin formato (y luego solicita letras seleccionadas). (Dichas contraseñas generalmente son generadas aleatoriamente por el banco y el usuario no puede cambiarlas; debe tener la carta que le enviaron).
@MartinBonner Evitaría decir "generalmente" aquí. He tenido cuentas con media docena de diferentes bancos (Reino Unido) y sociedades de crédito hipotecario, y los procesos de seguridad han sido diferentes para cada uno. Algunos tienen nombres de usuario generados aleatoriamente ; algunos tienen 2FA electrónico; algunos tienen "tarjetas de cuadrícula" de papel (ya sea 2FA de baja tecnología o simplemente una contraseña aleatoria larga, dependiendo de cómo se mire); otros simplemente preguntan su nombre, fecha de nacimiento y una de un conjunto de "preguntas secretas" (contraseñas con indicaciones integradas que las hacen menos seguras). ¡Todo lo cual es un regalo para los estafadores, porque hace que la educación sea realmente difícil!
Otra posibilidad: supongamos (y no digo que esto sucediera en este caso) que Santander tuviera una persona adentro que vendiera información personal de los clientes. Simplemente no decirle a nadie su nombre de usuario y contraseña no sería suficiente para protegerlo en ese caso.
@GaneshSittampalam Vale la pena señalar que actualmente también hay una estafa, en la que le dirán que cuelgue y llame a su banco (como le gusta); pero como no han desconectado su extremo, en realidad solo vuelve a conectarles la llamada. Específicamente diseñado para dirigirse a personas como usted, que ya actúan de una manera consciente de la seguridad. Sin embargo, se puede prevenir esperando 2-3 minutos después de que "cuelguen". Más información: which.co.uk/consumer-rights/advice/phone-scams
@Bilkokuya sí, buen punto. No puede suceder en un teléfono móvil, y tendría cuidado en un teléfono fijo.

En un comentario, aclaró su pregunta como,

¿Cuál es el conjunto de información que debe protegerse para evitar que los estafadores borren su cuenta bancaria?

La buena noticia es que los bancos han evolucionado la seguridad y la protección contra fraudes a medida que han agregado servicios. Dado que el enfoque de su pregunta parece estar relacionado con las estafas que dependen del acceso a través de la banca en línea, las características típicas son:

Autenticación de dos factores, solo para iniciar sesión, con cierto grado de "inteligencia": es posible que solo necesite su nombre de usuario y contraseña para iniciar sesión, pero el sistema bancario en línea lo desafiará por un segundo factor antes de iniciar sesión, si su el intento de acceso falla en ciertas pruebas. A menudo, el banco utiliza un sistema de puntuación que evalúa una serie de factores y decide qué hacer. Además de requerir un segundo factor, los sistemas bancarios a veces también bloquearán el acceso en línea de alguien si hay suficiente comportamiento sospechoso:

  • Intentos fallidos de nombre de usuario/contraseña
  • Iniciar sesión desde un dispositivo que nunca ha usado antes
  • Iniciar sesión desde un navegador que nunca ha usado antes
  • Iniciar sesión desde un navegador en un teléfono móvil, cuando el historial de inicio de sesión de su teléfono móvil generalmente proviene de la propia aplicación del banco
  • Iniciar sesión desde un código postal, estado o país desde el que nunca antes había iniciado sesión
  • Iniciar sesión a una hora del día diferente a la normal (es decir, todo su historial es durante el día y de repente hay un intento a las 2 a. m. en su zona horaria).
  • Ha reinstalado la aplicación de banca en línea desde la última vez que inició sesión
  • Recientemente instaló la aplicación de banca en línea en otro dispositivo e intentó iniciar sesión, pero se detuvo porque la contraseña era incorrecta

Un tipo diferente de validación de múltiples factores, cuando ocurre una actividad sospechosa, una vez que haya iniciado sesión. La mayoría de los sistemas bancarios también desafiarán activamente a un cliente que intente realizar transacciones inusuales. Por ejemplo, se puede desafiar al cliente a ingresar un PIN que se envía a su teléfono a través de un mensaje de texto si está agregando una nueva cuenta de pago de facturas, si está realizando un pago de facturas o una transferencia externa por encima de un límite determinado, o incluso si están transfiriendo más de $1000 entre sus propias cuentas.

Notificación pasiva de actividad sospechosa: muchos sistemas bancarios notificarán pasivamente a los clientes cuando se realicen ciertas transacciones, incluso si se superan todos los desafíos anteriores y la transacción se completa. cuenta o se ha visto comprometida. A menudo, estas notificaciones están diseñadas para usar canales diferentes a los desafíos de múltiples factores, por lo que, por ejemplo, si una transferencia grande requiere que se envíe un PIN a un teléfono celular, la notificación se realizará por correo electrónico o una llamada automática a un número diferente registrado. para el cliente

También hay casos en los que los bancos implementan notificaciones pasivas a través del correo real; por ejemplo, si cambia su contraseña de banca en línea, recibe una carta en el correo notificándole que lo hizo. Esto está diseñado como una notificación de última hora para ayudar a las personas cuya identidad digital se ha visto comprometida sin saberlo (es decir, si alguien sabe cómo acceder a su teléfono y tiene acceso a su aplicación de banca en línea y sus mensajes de texto).

Para abordar otro punto que hizo en los comentarios,

Si la respuesta es "su nombre de usuario y contraseña", entonces estoy a salvo, pero no parece ser una estafa muy sofisticada.

En cierto sentido, tiene razón: en teoría, un estafador puede obtener acceso solo con su nombre de usuario y contraseña, pero hay un área gris en términos de si realmente podrán iniciar sesión o cuáles pueden ser. pueden salirse con la suya una vez que han iniciado sesión. La parte "sofisticada" entra en juego en el sentido de engañar a la marca para que eluda o ignore todos los controles anteriores : el estafador tendrá que convencer a la marca para que les dé los PIN que se envían a su teléfono, o incluso llamando al banco y desbloqueando su cuenta si su acceso a la banca en línea se bloquea debido a intentos fallidos de inicio de sesión.

Esta es la razón principal por la que la mayoría de los bancos implementan la prevención activa del fraude por parte del personal del banco:Probablemente, la forma más común de detener un ataque de ingeniería social es que el personal del banco controle activamente la actividad sospechosa y luego tome medidas para proteger al cliente. Además de observar si los miembros aciertan o fallan en los factores desencadenantes anteriores, puede haber otras cosas que el banco esté monitoreando activamente, a menudo en función de factores desencadenantes de comportamiento (alguien que hace algo que normalmente no hace), factores desencadenantes de calidad (alguien muestra imágenes de cheques que son a punto de fallar la verificación), o casillas de tiempo (alguien crea una nueva cuenta bancaria en línea e inmediatamente intenta retirar todo su dinero a través de una transferencia). A veces, el personal tomará medidas correctivas al suspender la cuenta o transacciones específicas, cerrar el acceso a la banca en línea, llamar al miembro u otros métodos para prevenir el fraude.

Los bancos intentarán deliberadamente ocultar al público los detalles de sus propias herramientas de prevención del fraude, para evitar que los estafadores se centren en sus debilidades. Si un banco tiene un conjunto suficiente de herramientas que el público no entiende bien, entonces, para tener éxito, una estafa deberá asegurar realmente la confianza total de su marca, en lugar de simplemente tratar de robar información específica de a ellos. Una vez que se ha engañado a una marca, ninguno de los factores anteriores evitará la pérdida.

Para llevar todo este círculo completo a su pregunta original,

¿Qué información/ayuda necesitaría un estafador para realizar estos pagos?

La respuesta es que depende del banco, pero por lo general necesitarán su nombre de usuario y contraseña, junto con acceso total a la información que pretende ser confidencial entre usted y el banco (es decir, PIN enviados a su teléfono por mensaje de texto, llamadas telefónicas, correos electrónicos, etc.) para vencer los típicos controles de fraude. En otras palabras, si el banco está haciendo un buen trabajo en la prevención del fraude, no hay una lista predefinida de cosas que el estafador necesita; el estafador necesita engañarlo para que lo ayude a evadir cualquier medida que activen sus actividades.

Voy a comentar aquí porque sucedió algo irónico cuando presioné enviar para esta respuesta: se me solicitó un captcha porque el sistema SE aparentemente no podía decir si realmente era dwizum o no.
¿Qué información necesitan los estafadores para retirar dinero de una cuenta?
RespuestasAquíPolítica de privacidad1y, 0v