Redacción NM
Cody Mullenaux y su familia. Mullenaux fue víctima de un sofisticado esquema de fraude electrónico que resultó en el robo de $120,000
Cortesía: Cody Mullenaux
Los bancos han gastado enormes cantidades en seguridad cibernética y detección de fraude, pero ¿qué sucede cuando las tácticas criminales son lo suficientemente sofisticadas como para engañar incluso a los empleados del banco?
Para Cody Mullenaux, significó tener más de $120,000 transferidos desde su cuenta corriente de Chase con pocas esperanzas de recuperar los fondos robados.
La saga de Mullenaux, propietario de una pequeña empresa de California de 40 años, comenzó el 19 de diciembre. Mientras hacía las compras navideñas para su hija pequeña, recibió una llamada de una persona que decía ser del departamento de fraudes de Chase y le pedía verificar una transacción sospechosa.
El número 800 coincidía con el servicio al cliente de Chase, por lo que Mullenaux no pensó que fuera sospechoso cuando la persona le pidió que iniciara sesión en su cuenta a través de un enlace seguro enviado por mensaje de texto con fines de identificación. El enlace parecía legítimo y el sitio web que se abrió parecía idéntico a su aplicación bancaria Chase, por lo que inició sesión.
«Nunca se me pasó por la cabeza que no estaba hablando con un representante legítimo de Chase», dijo Mullenaux a CNBC.
Atrás quedaron los días en que lo único que un consumidor tenía que tener en cuenta era un correo electrónico o enlace sospechoso. Las tácticas de los ciberdelincuentes se han transformado en esquemas múltiples, con múltiples delincuentes actuando en equipo para implementar tácticas sofisticadas que involucran software listo para usar que se vende en kits que enmascaran números de teléfono e imitan las páginas de inicio de sesión del banco de la víctima. Es una amenaza generalizada que, según los expertos en seguridad cibernética, está impulsando un aumento en la actividad. Predicen que solo empeorará. Desafortunadamente, para las víctimas de estos esquemas, el banco no siempre está obligado a devolver los fondos robados.
Después de iniciar sesión, Mullenaux dijo que vio grandes cantidades de dinero moviéndose entre sus cuentas. La persona en el teléfono le dijo que alguien estaba en su cuenta tratando activamente de robar su dinero y que la única forma de mantenerlo a salvo era transferir dinero al supervisor del banco, donde se retendría temporalmente mientras aseguraban su cuenta.
Aterrorizado de que sus ahorros ganados con tanto esfuerzo estuvieran a punto de ser robados, Mullenaux dijo que se quedó al teléfono durante casi tres horas, siguió todas las instrucciones que le dieron y respondió preguntas de seguridad adicionales que le hicieron.
CNBC revisó los registros del celular de Mullenaux, la información de la cuenta bancaria, así como las imágenes del mensaje de texto y el enlace que se le envió.
Un equipo de estafadores
Lo que Mullenaux, inventor y fundador de Aquaphant, una empresa de tecnología que convierte la humedad del aire en agua filtrada, no sabía que la persona que hablaba por teléfono formaba parte de un sofisticado equipo de ciberdelincuentes.
Mientras Mullenaux hablaba con este representante del departamento de fraude falso, un segundo estafador se hacía pasar por Mullenaux en otra llamada telefónica con Chase para autorizar las transferencias electrónicas. Todas las respuestas a las preguntas de seguridad que se le hicieron a Mullenaux fueron luego enviadas al segundo estafador. Esto permitió a los estafadores brindar las respuestas correctas y convencer al empleado de Chase de que estaban hablando con el titular de la cuenta.
El engaño funcionó. Una vez que el empleado de Chase se convenció de que fue Mullenaux quien llamó para autorizar las tres transferencias electrónicas, más de $120,000 desaparecieron de su cuenta bancaria y, a pesar de sus mejores esfuerzos, no se recuperó.
En una declaración a CNBC, un Perseguir El portavoz dijo: «Los bancos nunca pedirán a los consumidores o empresas que se envíen dinero a sí mismos o a cualquier otra persona para evitar el fraude, pero los estafadores sí lo harán. Para confirmar que realmente está hablando con Chase, llame al número que figura en el reverso de su tarjeta o visite una sucursal. «
Cody Mullenaux, inventor y fundador de Aquaphant, una empresa de tecnología que convierte la humedad del aire en agua filtrada, con su equipo y su familia.
Cortesía: Cody Mullenaux
Pocos recursos para las víctimas de estafas electrónicas
Mullenaux dijo que se siente frustrado y derrotado por su experiencia tratando de recuperar los fondos robados.
«No importa lo que hagan para tratar de proteger a los clientes, los estafadores siempre van un paso por delante», dijo Mullenaux, y agregó que su dinero habría estado más seguro en una caja de zapatos que en un gran banco al que apuntan los ciberdelincuentes.
La Comisión Federal de Comercio recomienda que cualquier cliente que piense que podría haber enviado dinero a los estafadores a través de una transferencia bancaria debe comunicarse de inmediato con su banco, informar la transferencia fraudulenta y solicitar que se revierta.
El tiempo es crítico cuando se trata de recuperar fondos enviados a través de transferencias bancarias fraudulentas, dijo la FTC a CNBC. La agencia dijo que las víctimas también deben denunciar el delito a la agencia, así como al Centro de Quejas de Delitos en Internet del FBI, el mismo día o al día siguiente, si es posible.
Mullenaux dijo que se dio cuenta de que algo andaba mal a la mañana siguiente cuando sus fondos no habían sido devueltos a su cuenta.
Inmediatamente condujo hasta la sucursal local de su banco Chase, donde le dijeron que probablemente había sido víctima de un fraude. Mullenaux dijo que el asunto no se manejó con ningún sentido de urgencia y que no se ofreció como opción un intento de transferencia bancaria inversa, que la FTC sugiere que soliciten los clientes.
En cambio, Mullenaux dijo que el empleado de la sucursal le dijo que recibiría un paquete por correo dentro de los 10 días que podría completar para presentar un reclamo. Mullenaux pidió el paquete inmediatamente. Lo llenó y lo envió el mismo día.
Ese reclamo, junto con un segundo que Mullenaux presentó ante el poder ejecutivo, fueron denegados. Los empleados que investigan el asunto dijeron que Mullenaux había llamado para autorizar las transferencias electrónicas.
Cody Mullenaux y su hija. Mullenaux había estado comprando regalos de Navidad para su hija cuando recibió una llamada de un hombre que se hacía pasar por un empleado del departamento de fraudes de Chase.
Cortesía: Cody Mullenaux
CNBC proporcionó a Chase los registros del teléfono celular de Mullenaux que mostraban que nunca hizo ninguna llamada telefónica saliente a Chase el día en cuestión. Los registros también sugieren, en comparación con los registros de transferencias electrónicas, que no pudo haber sido Mullenaux quien llamó a Chase para autorizar las transferencias electrónicas porque los tres estaban autorizados y se realizaron mientras Mullenaux todavía hablaba por teléfono con los estafadores.
Sin embargo, eso no cambió la decisión del banco y, nuevamente, el reclamo de Mullenaux fue denegado ya que había compartido su información privada con los delincuentes.
Los estafadores aprovecharon lagunas regulatorias
Ya sea que los estafadores se dieran cuenta de que lo estaban haciendo o no, explotaron con éxito dos lagunas en la legislación actual de protección al consumidor que resultó en que Chase no tuviera que reemplazar los fondos robados de Mullenaux. Legalmente, los bancos no tienen que reembolsar los fondos robados cuando se engaña a un cliente para que envíe dinero a un ciberdelincuente.
Sin embargo, según la Ley de transferencia electrónica de fondos, que cubre la mayoría de los tipos de transacciones electrónicas, como los pagos entre pares y los pagos o transferencias en línea, los bancos están obligados a reembolsar a los clientes cuando se roban fondos sin que el cliente lo autorice. Lamentablemente, las transferencias electrónicas, que implican transferir dinero de un banco a otro, no están cubiertas por la ley, que también excluye el fraude relacionado con cheques en papel y tarjetas prepagas.
Los ciberdelincuentes también transfirieron fondos de las cuentas corrientes y de ahorro personales de Mullenaux a su cuenta comercial antes de iniciar las transferencias electrónicas. La Regulación E, que está diseñada para ayudar a los consumidores a recuperar su dinero de una transacción no autorizada, solo protege a las personas, no a las cuentas comerciales.
Un representante de Chase dijo que la investigación continúa mientras el banco intenta recuperar los fondos robados.
Eso es algo por lo que Mullenaux dice que está orando. «Rezo para que esta tragedia se reconcilie de alguna manera, que [bank] la gerencia ve lo que me pasó y me devuelven el dinero».
Mullenaux también ha presentado informes a la policía local y al Centro de Quejas de Delitos en Internet del FBI, pero ninguno de los dos se ha puesto en contacto con él sobre su caso.
Sofisticadas tácticas de estafa en aumento
Los ciberdelincuentes no solo atacan a los clientes de Chase con estos esquemas sofisticados. El verano pasado, IronNet descubrió una plataforma de «phishing como servicio» que vende kits de phishing listos para usar a los ciberdelincuentes que se dirigen a empresas con sede en los EE. UU., incluidos los bancos. Los kits personalizables pueden costar tan solo $ 50 por mes e incluyen códigos, gráficos y archivos de configuración para parecerse a las páginas de inicio de sesión del banco.
Joey Fitzpatrick, gerente de análisis de amenazas en IronNet, dijo que si bien no puede decir con certeza si Mullenaux fue defraudado así, «el ataque contra él tiene todas las características de los atacantes que aprovechan el mismo tipo de herramientas multimodales que el phishing, como -a-las plataformas de servicios brindan».
Él espera que las ofertas de tipo «como servicio» sigan ganando terreno a medida que los kits no solo bajan el listón para que los ciberdelincuentes de nivel bajo a medio creen campañas de phishing, sino que también permite que los delincuentes de nivel superior se concentren en una sola área y desarrollar tácticas y malware más sofisticados.
«Hemos visto un aumento del 10 % en el despliegue de kits de phishing solo en enero de 2023», dijo Fitzpatrick.
En 2022, la empresa experimentó un aumento del 45 % en las alertas y detecciones de phishing.
Pero no son solo los esquemas de phishing en aumento, son todos los ataques cibernéticos. Los datos de Check Point mostraron que en 2022 hubo un aumento del 52 % en los ciberataques semanales en el sector financiero/bancario en comparación con los ataques en 2021.
«La sofisticación de los ataques cibernéticos y los esquemas de fraude ha aumentado significativamente durante el último año», dijo Sergey Shykevich, gerente del grupo de amenazas de Check Point. «Ahora, en muchos casos, los ciberdelincuentes no confían solo en enviar correos electrónicos de phishing/maliciosos y esperar a que la gente haga clic en ellos, sino que lo combinan con llamadas telefónicas, MFA [multifactor authentication] ataques de fatiga y más.»
Ambos expertos en seguridad cibernética dijeron que los bancos pueden hacer más para educar a los clientes.
Shykevich dijo que los bancos deberían invertir en una mejor inteligencia de amenazas que pueda detectar y bloquear los métodos que usan los ciberdelincuentes. Un ejemplo que dio es comparar un inicio de sesión con la «huella digital» digital de una persona, que se basa en datos como el navegador que usa una cuenta, la resolución de la pantalla o el idioma del teclado.
El mejor consejo: cuelgue el teléfono
Había una cosa en la que Chase, las agencias federales y los expertos en seguridad cibernética estaban de acuerdo: si un cliente recibe una llamada telefónica de su banco y la persona comienza a pedir información, cuelga y vuelve a llamar al banco.
«Si un consumidor recibe una llamada, un mensaje de texto o un correo electrónico inesperado de alguien que dice ser de su banco, alertándolo de un problema, el consumidor debe colgar (o eliminar el mensaje de texto/correo electrónico y no hacer clic en los enlaces) e intente llamar a su banco a un número de teléfono que sepa que es real», dijo un portavoz de la FTC.
Los ciberdelincuentes tienen la capacidad de falsificar el identificador de llamadas y pueden usar información personal robada para engañar a la víctima para que entregue dinero.
Envíe sugerencias por correo electrónico a [email protected]
