Cyber ​​Attackers vacía cuentas comerciales en minutos

Los delincuentes sabían lo que estaban haciendo cuando llegaron al distrito escolar del oeste de Beaver.

Esperaron hasta que los administradores de la escuela estaban de vacaciones, y luego durante un período de cuatro días entre el 29 de diciembre y el 2 de enero, sacaron $ 704,610.35 de dos de las cuentas bancarias del distrito escolar. La institución financiera Western Beaver, ESB Bank, logró revertir algunas de las transferencias, pero el distrito escolar de Pensilvania perdió más de $ 441,000.

El 9 de julio, Western Beaver demandó a ESB para intentar recuperar el dinero, pero los expertos en seguridad dicen es solo una de muchas organizaciones que han sido golpeadas en los últimos meses por un nuevo tipo de fraude financiero perturbador que a menudo puede dejar a la víctima en la bolsa.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

Los defraudadores se están aprovechando de la Red de Cámara de Compensación Automatizada (ACH, por sus siglas en inglés) ampliamente utilizada pero oscura para realizar sus ataques. Las instituciones financieras utilizan esta red financiera para manejar depósitos directos, cheques, pagos de facturas y transferencias de efectivo entre empresas y particulares.

En abril, los estafadores de ACH retiraron $ 1.2 millones de un importador de Sugar Land, Texas llamado Unique Industrial Products, de acuerdo con un informe en el Houston Chronicle. Hicieron esto pirateando las computadoras de la compañía y luego autorizando 39 transferencias para sacar el dinero de la cuenta de Unique Industrial. Aunque la mayor parte del dinero se recuperó, los estafadores obtuvieron $ 150,000 del ataque, lo cual no está mal por 30 minutos de trabajo.

"El fraude ACH continúa creciendo, especialmente en esta actual recesión económica donde el desempleo está en niveles muy altos". dijo Jeffery Dertz, un socio en el grupo de práctica de seguros con Blackman Kallick, una firma de consultoría y contabilidad con sede en Chicago.

Los delincuentes pueden ganar millones de dólares por día con fraude ACH, dicen los investigadores. Y aunque los consumidores están protegidos contra este tipo de fraude, las reglas para corporaciones y organizaciones no son tan claras, por lo que a veces víctimas como Western Beaver tienen que pagar.

El fraude generalmente comienza con un correo electrónico de phishing dirigido, dirigido a quien está a cargo de la chequera de la empresa. Al engañar a la víctima para ejecutar el software, abrir un archivo adjunto dañino o visitar un sitio web malicioso, los delincuentes pueden instalar el software de captura de pantalla y robar contraseñas de cuenta bancaria.

"Si puedo obtener sus credenciales, entonces puedo tener algo de diversión ", dijo Robert West, el ex oficial jefe de seguridad de la información de Fifth Third Bank, que ahora es director ejecutivo de la consultora de inteligencia de seguridad Echelon One. Está de acuerdo en que el fraude ACH es un problema creciente

El abogado de Western Beaver, Alfred Steff, no quiso hacer ningún comentario sobre esta historia, pero el condado dijo que los estafadores usaron un virus informático para piratear el sistema informático de la junta escolar.

A menudo, el software malicioso se encuentra dentro del navegador, esperando que la víctima inicie sesión en un sitio del banco antes de entrar en acción. Luego, una vez que la víctima se ha conectado, el software configura nuevos beneficiarios y transfiere dinero a ellos: una vez que las cuentas de la víctima han sido pirateadas, todo lo que el atacante necesita es un número de ruta y un número de cuenta para enviar el efectivo a una mula de dinero. Si dos personas deben firmar la transferencia, los piratas informáticos los golpean a los dos.

Las mulas también son víctimas. Por lo general, piensan que están haciendo un trabajo legítimo de nómina para empresas internacionales. Después de ser reclutados en sitios como Monster.com, les dicen que pueden mantener una comisión del 5 por ciento si sacan dinero del país. A menudo, cuando el banco revierte la transacción, tienen que pagar.

Algunos expertos en seguridad creen que el hecho de que las mulas sean difíciles de reclutar es lo único que impide que este tipo de fraude se dispare en este momento. El vendedor de seguridad Trusteer estima que el 3 por ciento de los consumidores ya están infectados con software de fraude financiero. "El cuello de botella es sacar el dinero de las cuentas", dijo Amit Klein, director de tecnología de Trusteer.

El fraude funciona, en parte, porque la actividad fraudulenta de ACH no siempre desencadena banderas rojas con los bancos, especialmente cuando se trata de bancos regionales más pequeños, según un investigador, que pidió no ser identificado porque está trabajando en casos activos. "Hay un problema muy serio", dijo sobre el fraude de ACH. "Es un sistema muy antiguo y potencialmente no hay muchos controles en el sistema de transferencia subyacente".

En el caso de Western Beaver, las banderas rojas deberían haberse levantado cuando el consejo escolar repentinamente agregó 42 personas a su nómina en lugares como muy lejos, como California y Puerto Rico durante sus vacaciones de Navidad, y luego comenzó a pagarles mucho más que la mayoría de las otras personas en la nómina, dijo. De acuerdo con las notificaciones judiciales, ESB recibió 74 solicitudes de transferencia durante el período de cuatro días, otra bandera roja.

En su demanda, Western Beaver acusa a su banco de no responder a las solicitudes no autorizadas de "alerta roja". No se pudo contactar a un vocero de un banco ESB para hacer comentarios.

Una razón por la que a los bancos les resulta difícil detectar transacciones ACH fraudulentas es porque el volumen de dinero que se mueve a través de la red es simplemente abrumador. La red de ACH procesó casi 9 mil millones de pagos en 2002, valorados en más de $ 24.4 billones de dólares. "Los últimos dos bancos en los que trabajé, pasaríamos por el equivalente de nuestros activos netos en un par de días", dijo West.

Por muy lucrativo que sea, este tipo de fraude ACH no está generalizado, según a Mary Gilmeister, presidenta de WACHA, una organización sin fines de lucro que brinda información relacionada con ACH a las organizaciones financieras. "Es importante, pero no afecta a un gran número de instituciones financieras", dijo. "Las instituciones financieras le están prestando más atención", se comunican entre sí y lanzan avisos de advertencia cuando ocurre el fraude, dijo.

Para los consumidores cuyas cuentas bancarias se vacían por una estafa de ACH, las regulaciones bancarias federales limitan la responsabilidad en $ 50, siempre que el fraude se informe de manera oportuna. Pero para las corporaciones y otras entidades, las cosas son mucho más complicadas, y si la víctima tiene que pagar puede variar de un banco a otro.

Eso podría erosionar seriamente la confianza del público en la banca por Internet, el investigador dijo: "Estamos hablando de pequeñas empresas, el alma de los EE. UU., que se están viendo afectadas por cinco o seis cifras porque han adoptado la banca en línea ".