Hay una historia actualmente en el sitio web de noticias de la BBC . Los puntos relevantes son:
¿Qué información/ayuda necesitaría un estafador para realizar estos pagos?
Siento que si la respuesta es "todo lo que normalmente usas para ingresar a tu cuenta y hacer pagos", entonces el reclamo del banco por negligencia grave por parte de Alex es justificable. Si la respuesta es algo más, me gustaría saberlo.
Desde el enlace en la respuesta de Vicky, los estafadores necesitaban acceso a la computadora de la víctima (o que las víctimas transfirieran el dinero, o acceso general a la cuenta de la víctima) y que la víctima leyera las contraseñas de un solo uso que estaban pidiendo. Esta fue una estafa social, no una estafa técnica.
Por otro lado, parece que estaban apuntando al banco Santander por una razón, y esa razón parece ser la prevención del fraude de baja calidad.
Al final, el banco tiene el tiempo y el conocimiento necesarios para mantenerse al tanto de las últimas estafas; sus clientes no.
Bueno, ellos (presumiblemente deliberadamente) no han publicado los detalles de los métodos que usaron los estafadores, por lo que ninguno de nosotros puede decirlo. La historia de la BBC es muy ligera en detalles, pero dice que ella fue víctima de una "estafa sofisticada" y que fue "engañada para que entregara detalles de seguridad confidenciales".
Todo lo que realmente importa es que el Defensor del Pueblo Financiero, que tenía detalles de lo que sucedió, se ha puesto del lado de Alex y, por lo tanto, el banco tiene que pagarle a Alex por las pérdidas.
[Editar: con más búsquedas en Google, hay muchos más detalles aquí: https://www.thisismoney.co.uk/money/beatthecammers/article-4358442/Santander-fraud-victims-tell-angustia.htmlincluyendo que el Servicio del Defensor del Pueblo Financiero encontró debilidades significativas en los sistemas de seguridad de Santander y también descubrió que no tomaron medidas para prevenir o incluso controlar el patrón muy inusual de retiros, que una persona razonable podría considerar que deberían hacer]. Esta pregunta realmente se siente equivalente a "este periódico dice que la persona X fue arrestada por los cargos de asesinar a la persona Y, pero la persona X fue absuelta en el juicio. ¿Qué necesitarías para asesinar a una persona porque si realmente es tan simple como golpearla con un martillo, entonces puedo No veo por qué la persona X habría sido absuelta". Fundamentalmente: sin todos los detalles, no podemos juzgar.
En un comentario, aclaró su pregunta como,
¿Cuál es el conjunto de información que debe protegerse para evitar que los estafadores borren su cuenta bancaria?
La buena noticia es que los bancos han evolucionado la seguridad y la protección contra fraudes a medida que han agregado servicios. Dado que el enfoque de su pregunta parece estar relacionado con las estafas que dependen del acceso a través de la banca en línea, las características típicas son:
Autenticación de dos factores, solo para iniciar sesión, con cierto grado de "inteligencia": es posible que solo necesite su nombre de usuario y contraseña para iniciar sesión, pero el sistema bancario en línea lo desafiará por un segundo factor antes de iniciar sesión, si su el intento de acceso falla en ciertas pruebas. A menudo, el banco utiliza un sistema de puntuación que evalúa una serie de factores y decide qué hacer. Además de requerir un segundo factor, los sistemas bancarios a veces también bloquearán el acceso en línea de alguien si hay suficiente comportamiento sospechoso:
Un tipo diferente de validación de múltiples factores, cuando ocurre una actividad sospechosa, una vez que haya iniciado sesión. La mayoría de los sistemas bancarios también desafiarán activamente a un cliente que intente realizar transacciones inusuales. Por ejemplo, se puede desafiar al cliente a ingresar un PIN que se envía a su teléfono a través de un mensaje de texto si está agregando una nueva cuenta de pago de facturas, si está realizando un pago de facturas o una transferencia externa por encima de un límite determinado, o incluso si están transfiriendo más de $1000 entre sus propias cuentas.
Notificación pasiva de actividad sospechosa: muchos sistemas bancarios notificarán pasivamente a los clientes cuando se realicen ciertas transacciones, incluso si se superan todos los desafíos anteriores y la transacción se completa. cuenta o se ha visto comprometida. A menudo, estas notificaciones están diseñadas para usar canales diferentes a los desafíos de múltiples factores, por lo que, por ejemplo, si una transferencia grande requiere que se envíe un PIN a un teléfono celular, la notificación se realizará por correo electrónico o una llamada automática a un número diferente registrado. para el cliente
También hay casos en los que los bancos implementan notificaciones pasivas a través del correo real; por ejemplo, si cambia su contraseña de banca en línea, recibe una carta en el correo notificándole que lo hizo. Esto está diseñado como una notificación de última hora para ayudar a las personas cuya identidad digital se ha visto comprometida sin saberlo (es decir, si alguien sabe cómo acceder a su teléfono y tiene acceso a su aplicación de banca en línea y sus mensajes de texto).
Para abordar otro punto que hizo en los comentarios,
Si la respuesta es "su nombre de usuario y contraseña", entonces estoy a salvo, pero no parece ser una estafa muy sofisticada.
En cierto sentido, tiene razón: en teoría, un estafador puede obtener acceso solo con su nombre de usuario y contraseña, pero hay un área gris en términos de si realmente podrán iniciar sesión o cuáles pueden ser. pueden salirse con la suya una vez que han iniciado sesión. La parte "sofisticada" entra en juego en el sentido de engañar a la marca para que eluda o ignore todos los controles anteriores : el estafador tendrá que convencer a la marca para que les dé los PIN que se envían a su teléfono, o incluso llamando al banco y desbloqueando su cuenta si su acceso a la banca en línea se bloquea debido a intentos fallidos de inicio de sesión.
Esta es la razón principal por la que la mayoría de los bancos implementan la prevención activa del fraude por parte del personal del banco:Probablemente, la forma más común de detener un ataque de ingeniería social es que el personal del banco controle activamente la actividad sospechosa y luego tome medidas para proteger al cliente. Además de observar si los miembros aciertan o fallan en los factores desencadenantes anteriores, puede haber otras cosas que el banco esté monitoreando activamente, a menudo en función de factores desencadenantes de comportamiento (alguien que hace algo que normalmente no hace), factores desencadenantes de calidad (alguien muestra imágenes de cheques que son a punto de fallar la verificación), o casillas de tiempo (alguien crea una nueva cuenta bancaria en línea e inmediatamente intenta retirar todo su dinero a través de una transferencia). A veces, el personal tomará medidas correctivas al suspender la cuenta o transacciones específicas, cerrar el acceso a la banca en línea, llamar al miembro u otros métodos para prevenir el fraude.
Los bancos intentarán deliberadamente ocultar al público los detalles de sus propias herramientas de prevención del fraude, para evitar que los estafadores se centren en sus debilidades. Si un banco tiene un conjunto suficiente de herramientas que el público no entiende bien, entonces, para tener éxito, una estafa deberá asegurar realmente la confianza total de su marca, en lugar de simplemente tratar de robar información específica de a ellos. Una vez que se ha engañado a una marca, ninguno de los factores anteriores evitará la pérdida.
Para llevar todo este círculo completo a su pregunta original,
¿Qué información/ayuda necesitaría un estafador para realizar estos pagos?
La respuesta es que depende del banco, pero por lo general necesitarán su nombre de usuario y contraseña, junto con acceso total a la información que pretende ser confidencial entre usted y el banco (es decir, PIN enviados a su teléfono por mensaje de texto, llamadas telefónicas, correos electrónicos, etc.) para vencer los típicos controles de fraude. En otras palabras, si el banco está haciendo un buen trabajo en la prevención del fraude, no hay una lista predefinida de cosas que el estafador necesita; el estafador necesita engañarlo para que lo ayude a evadir cualquier medida que activen sus actividades.
pete b
dwizum