Firma de construcción demanda después de $ 588,000 Online Theft

Una empresa de construcción en Maine está demandando a su banco después de que desaparecieron unos $ 588,000 de sus cuentas, alegando que el banco no detectó actividad sospechosa antes de que fuera demasiado tarde.

Durante un período de una semana en mayo, los estafadores realizaron seis transferencias desde las cuentas bancarias en línea de Patco Construction Company, un desarrollador familiar en Sanford, Maine, según una copia de la demanda en el sitio web del Washington Post.

El dinero se destinó a las llamadas "mulas"., "o personas que han aceptado recibir los fondos y luego transferirlos a los estafadores. Los robustos retiros excedieron la cantidad de dinero que Patco tenía en su cuenta, que se usó exclusivamente para nómina.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

Para empeorar las cosas para Patco, su banco: - People's United Bank, o Ocean Bank of Delaware, recaudó $ 223,237 en la línea de crédito de la compañía para cubrir los retiros. Ocean Bank ahora quiere que Patco le pague ese dinero con intereses, dijo la demanda.

Luego de que la mala transferencia salió a la luz, Ocean Bank recuperó o bloqueó $ 243,406, pero Patco todavía está en el gancho por $ 345,444.

Los estafadores tenían mucha información clave necesaria para realizar las transferencias, realizadas a través de la red ACH (Automated Clearing House), utilizada por las instituciones para manejar depósitos directos, cheques, pagos de facturas y transferencias de efectivo entre empresas e individuos.

El sistema ACH ha demostrado ser vulnerable al fraude en los últimos tiempos, debido a su edad y la falta de controles en el sistema de transferencia subyacente, según los investigadores.

Varios empleados de Patco fueron autorizados a usar la cuenta. Ingresaron con una identificación y contraseña de la compañía y también su propia identificación y contraseña, dijo la demanda. Para transferencias superiores a $ 1,000, los empleados tuvieron que responder dos preguntas de desafío. Como la mayoría de sus transferencias excedieron esa cantidad, las preguntas de desafío se usaron a menudo.

Aparentemente los estafadores pudieron recopilar esa información de seguridad. Podrían haberlo hecho infectando computadoras usadas para realizar transferencias con spyware, a menudo instaladas a través de técnicas de ingeniería social o explotando vulnerabilidades en software desactualizado.

Patco argumenta que Ocean Bank no ofreció autenticación de dos factores, que a menudo implica el uso de un token que muestra una contraseña de un solo uso o una llamada telefónica de verificación.

Patco también dijo que las transferencias se iniciaron desde direcciones IP (Protocolo de Internet) que Patco nunca había usado, las transferencias excedieron con creces la compañía normalmente se desempeñaba y era en días distintos al viernes, cuando la compañía pagaba a sus empleados por depósito directo.

"Ninguna de estas transacciones desencadenó ninguna alerta de actividad sospechosa por parte de Ocean Bank", alega la demanda.

Uno de los propietarios de Patco, Mark Patterson, recibió una notificación el 13 de mayo de que una de las transferencias de ACH fue rechazada debido a un número de cuenta inválido proporcionado por los estafadores.

Patco notificó al banco el siguiente mañana, pero el banco ya comenzó las transferencias ACH del día y $ 111,963 flotando lejos. Parte de esa cantidad fue recuperada.