¿Qué información necesitan los estafadores para retirar dinero de una cuenta?

Question

Hay una historia actualmente en el Sitio web de noticias de la BBC . Los puntos relevantes son:

1. Los estafadores llamaron a Alex haciéndose pasar por BT (proveedor de telecomunicaciones).
2. Alex proporcionó a los estafadores información / ayuda
3. Los estafadores realizaron pagos que vaciaron la cuenta de 180.000 libras en 24 horas
4. Pagos etiquetados, por ejemplo: "Pago de facturas mediante pago rápido a Radu Reference Web Inv 793, Mandate No 127 £2,500.00 £34,617.11"
5. El banco rechazó inicialmente la responsabilidad, alegando negligencia grave
6. El Servicio del Defensor del Pueblo Financiero dio la razón a Alex

¿Qué información/ayuda necesitaría un estafador para realizar estos pagos?

Me parece que si la respuesta es "todo lo que usas habitualmente para entrar en tu cuenta y hacer pagos" entonces la reclamación del banco por negligencia grave de Alex es justificable. Si la respuesta es otra me gustaría saberlo.

Answer 1

Según el enlace de la respuesta de Vicky, los estafadores necesitaban acceder al ordenador de la víctima (o que ésta transfiriera el dinero, o el acceso general a la cuenta de la víctima) y que la víctima leyera las contraseñas de un solo uso que le pedían. Se trataba de una estafa social, no de una estafa técnica.

Por otro lado, parece que estaban apuntando al banco Santander por una razón, y esa razón parece ser la prevención del fraude de baja calidad.

• Se espera que el banco esté atento a las transacciones inusuales, y éstas deberían haber sido transacciones inusuales. En muchos casos, no se marcaron como tales.
• Incluso cuando se marcaron como operaciones inusuales, el Santander no fue diligente a la hora de ponerse en contacto con el cliente, y dejó que la operación se realizara.
• El Santander pedía al cliente contraseñas de un solo uso sin incluir también el contexto. Esto permitía a los estafadores fingir que la transferencia tenía otro fin.
• Algunas de las víctimas insisten en que nunca recibieron los mensajes de contraseña única, pero la transferencia se realizó de todos modos. Esto podría indicar que los estafadores pudieron cambiar el número de teléfono asociado a la cuenta sin crear una alerta. (Para que quede claro, las víctimas podrían estar mintiendo; se trata de un delito un tanto embarazoso, y es natural que se eximan de responsabilidad. Aun así, es un detalle sospechoso).

Al final, el banco tiene el tiempo y los conocimientos necesarios para estar al tanto de las últimas estafas; sus clientes, no.

Answer 2

Bueno, no han publicado (presumiblemente de forma deliberada) los detalles de los métodos que utilizaron los estafadores, así que nadie puede decirlo. La historia de la BBC es muy escasa en detalles, pero dice que fue víctima de una "estafa sofisticada" y que fue "engañada para que entregara detalles de seguridad sensibles".

Lo único que realmente importa es que el Defensor del Pueblo Financiero, que sí tenía detalles de lo sucedido, se ha puesto de parte de Alex y, por tanto, el banco tiene que devolverle las pérdidas.

[Edición: buscando un poco más en Google hay bastantes más detalles aquí: https://www.thisismoney.co.uk/money/beatthescammers/article-4358442/Santander-fraud-victims-tell-anguish.html incluyendo que el Servicio del Defensor del Pueblo Financiero encontró debilidades significativas en los sistemas de seguridad del Santander y también encontró que no tomaron medidas para prevenir o incluso comprobar el patrón muy inusual de los retiros, que una persona razonable podría considerar que deberían]. Esta pregunta realmente parece equivalente a "este periódico dice que la persona X fue detenida acusada de asesinar a la persona Y, pero la persona X fue absuelta en el juicio. ¿Qué se necesita para asesinar a una persona, porque si realmente es tan sencillo como golpearla con un martillo, no veo por qué la persona X habría sido absuelta?". Fundamentalmente: sin todos los detalles, no podemos juzgar.

Answer 3

En un comentario, usted aclaró su pregunta como,

¿Cuál es el conjunto de información que hay que asegurar para evitar que los estafadores limpien su cuenta bancaria?

La buena noticia es que los bancos han hecho evolucionar la seguridad y la protección contra el fraude a medida que han ido añadiendo servicios. Dado que el enfoque de su pregunta parece estar en torno a las estafas que se basan en el acceso a través de la banca en línea, las características típicas son:

Autenticación de dos factores, sólo para iniciar sesión, con cierto grado de "inteligencia":. Puede que sólo necesite su nombre de usuario y contraseña para iniciar la sesión, pero el sistema de banca online le retará a un segundo factor antes de iniciar la sesión, si su intento de acceso no supera ciertas pruebas. A menudo, el banco utiliza un sistema de puntuación que evalúa una serie de factores y decide qué hacer. Además de requerir un segundo factor, los sistemas bancarios también bloquean a veces el acceso en línea de alguien si hay suficiente comportamiento sospechoso:

• Intentos fallidos de nombre de usuario/contraseña
• Iniciar sesión desde un dispositivo que nunca ha utilizado antes
• Iniciar sesión desde un navegador que nunca has utilizado
• Iniciar sesión desde un navegador en un teléfono móvil, cuando el historial de inicio de sesión del teléfono móvil suele proceder de la propia aplicación del banco
• Iniciar la sesión desde un código postal, un estado o un país desde el que nunca se ha iniciado la sesión
• Entrar a una hora del día diferente a la normal (es decir, todo tu historial es durante las horas de luz y de repente hay un intento a las 2 AM en tu zona horaria).
• Has reinstalado la aplicación de banca online desde la última vez que te conectaste
• Has instalado recientemente la aplicación de banca online en otro dispositivo y has intentado iniciar sesión, pero se te ha impedido porque la contraseña era incorrecta

Un tipo diferente de validación multifactorial, cuando se produce una actividad sospechosa, una vez que se ha iniciado la sesión. La mayoría de los sistemas bancarios también desafiarán activamente a un cliente que intente realizar transacciones inusuales. Por ejemplo, el cliente puede ser retado a introducir un PIN que se envía a su teléfono a través de un mensaje de texto si está añadiendo una nueva cuenta de pago de facturas, si está haciendo un pago de facturas o una transferencia externa por encima de un determinado umbral, o incluso si está transfiriendo más de 1000 dólares entre sus propias cuentas.

Notificación pasiva de actividades sospechosas: Muchos sistemas bancarios notifican pasivamente a los clientes cuando se producen ciertas transacciones, incluso si se superan todos los retos anteriores y la transacción se completa - esto está diseñado para al menos notificar al cliente si alguien ha "entrado" en su cuenta o ha sido comprometida de alguna manera. A menudo, estas notificaciones están diseñadas para utilizar canales diferentes a los desafíos multifactoriales, así que, por ejemplo, si una transferencia grande requiere un PIN enviado a un teléfono móvil, la notificación se hará por correo electrónico o una llamada automática a un número diferente registrado por el cliente.

También hay casos en los que los bancos implementan notificaciones pasivas a través del correo real: por ejemplo, si cambias tu contraseña de banca online, recibes una carta por correo en la que se te notifica que lo has hecho. Esto está pensado como una notificación de último recurso para ayudar a las personas que han visto comprometida toda su identidad digital sin saberlo (es decir, si alguien sabe cómo acceder a tu teléfono y tiene acceso a tu aplicación de banca online y a tus textos).

Para abordar otro punto que has hecho en los comentarios,

Si la respuesta es "su nombre de usuario y contraseña", entonces estoy a salvo, pero no parece ser una estafa muy sofisticada

En cierto sentido, tienes razón - un estafador puede teóricamente ser capaz de acceder sólo con su nombre de usuario y contraseña pero hay una zona gris en cuanto a si realmente podrán conectarse, o qué podrán hacer una vez que se hayan conectado. La parte "sofisticada" entra en juego en el sentido de engañar a la marca para que se salte o ignore todos los controles anteriores - el estafador tendrá que convencer a la marca para que le dé los PIN que se envían a su teléfono, o incluso llamar al banco y desbloquear su cuenta si su acceso a la banca online se bloquea por intentos fallidos de inicio de sesión.

Por eso, la mayoría de los bancos aplican prevención activa del fraude por parte del personal del banco: Probablemente, la forma más común de detener un ataque de ingeniería social es que el personal del banco vigile activamente la actividad sospechosa y luego tome medidas para proteger al cliente. Además de vigilar a los miembros que alcanzan o fallan los desencadenantes mencionados, puede haber otras cosas que el banco esté vigilando activamente, a menudo basadas en desencadenantes de comportamiento (alguien que hace algo que no hace normalmente), desencadenantes de calidad (alguien tiene imágenes de cheques que están a punto de fallar en la verificación), o casillas de tiempo (alguien crea una nueva cuenta de banca en línea e inmediatamente intenta retirar todo su dinero a través de una transferencia). A veces, el personal tomará medidas correctivas poniendo una retención en la cuenta o en transacciones específicas, cerrando el acceso a la banca online, llamando al miembro, o con otros métodos para prevenir el fraude.

Los bancos tratarán de ocultar a propósito los detalles de sus propias herramientas de prevención del fraude al público, para evitar que los convictos se centren en sus puntos débiles. Si un banco dispone de un conjunto suficiente de herramientas que no son bien conocidas por el público, para tener éxito, un estafador tendrá que asegurarse realmente la plena confianza de su marca, en lugar de limitarse a tratar de sonsacarles piezas específicas de información. Una vez que la marca ha sido engañada, ninguno de los factores anteriores evitará la pérdida.

Para cerrar el círculo de su pregunta original,

¿Qué información/ayuda necesitaría un estafador para realizar estos pagos?

La respuesta es que depende del banco, pero normalmente necesitarían su nombre de usuario y contraseña, junto con el acceso total a la información que se pretende que sea confidencial entre usted y el banco (es decir, los PIN enviados a su teléfono a través de mensajes de texto, llamadas telefónicas, correos electrónicos, etc.) con el fin de derrotar a los controles de fraude típicos. En otras palabras, si el banco está haciendo un buen trabajo de prevención del fraude, no hay una lista predefinida de cosas que el estafador necesita: el estafador necesita engañarte para que le ayudes a evadir cualquier medida que sus actividades desencadenen.