El FBI advierte de una amenaza cibernética de $ 100M para pequeñas empresas

Cyberthieves está pirateando organizaciones pequeñas y medianas todas las semanas y está robando millones de dólares en una estafa en curso que ha movido a unos 100 millones de dólares de las cuentas bancarias de Estados Unidos, advirtió el Buró Federal de Investigaciones de EE. UU. El martes.

Es uno de los principales problemas abordados por la Alianza Nacional de Ciber Forenses y Capacitación (NCFTA), que trabaja con el FBI y la industria para compartir información sobre ciberataques, según el Director Ejecutivo de la NCFTA, Ron Plesco. "Todos los años parece haber una tendencia y esta ha sido la tendencia este año", dijo.

Ha habido un "aumento significativo" en lo que se conoce como fraude ACH (cámara de compensación automatizada) en los últimos meses, mucho dirigido a pequeñas empresas, gobiernos municipales y escuelas, dijo el FBI en una alerta publicada en su sitio web.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

Los delincuentes pueden mover miles o incluso millones de dólares de las cuentas de sus víctimas muy rápidamente, utilizando la banca en línea para agregar nuevos beneficiarios a la cuenta bancaria de la organización y luego mover el dinero de la noche a la mañana. Por lo general, el primer paso es un correo electrónico al contable o funcionario financiero de la compañía que puede incluir archivos adjuntos maliciosos diseñados para parecerse a los parches de software de Microsoft, o simplemente enlaces a sitios web maliciosos. La idea es llevar el software de captura de teclado del delincuente a una computadora con acceso a la banca en línea y luego robar las credenciales de acceso.

Una vez que tienen acceso a la cuenta bancaria, los hackers configuran transferencias de ACH a mulas de dinero, generalmente víctimas inocentes que piensan están haciendo procesamiento de nómina para empresas internacionales, que luego transfieren el dinero al extranjero a través de servicios como Western Union y Moneygram.

En un caso, los delincuentes incluso lanzaron un ataque distribuido de denegación de servicio contra un procesador ACH para evitar que el banco recuerde las transferencias antes de que las mulas de dinero puedan trasladarlas al extranjero.

Una vez que el dinero está fuera del país, se va para siempre.

Los delincuentes prefieren organizaciones más pequeñas como los consejos escolares porque tienden a trabajar con bancos regionales más pequeños que pueden no contar con los controles de detección de fraude establecidos para detener estas transferencias falsas de ACH. Estas organizaciones a menudo publican información de contacto para el personal financiero, o incluso organigramas publicados en sus sitios web, lo que los convierte en una opción fácil para los estafadores

Según un informe del Centro de Denuncias contra el Crimen en Internet (IC3) del FBI, bancos y proveedores de servicios financieros a menudo son parte del problema. Basado en entrevistas del FBI, el IC3 concluyó que "en varios casos los bancos no tenían instalados firewalls adecuados, ni software antivirus en sus servidores o sus computadoras de escritorio. La falta de defensa en profundidad a nivel de institución / proveedor de servicios más pequeño ha creado una amenaza para el sistema de ACH. "

El FBI está abriendo nuevos casos cada semana en promedio, dijo el IC3. "Hasta octubre de 2009, hubo aproximadamente $ 100 millones en intentos de pérdidas".

El NCFTA está rastreando entre $ 1 millón y $ 1.5 millones en pérdidas cada semana a este tipo de fraude, según Ron Plesco, director ejecutivo de NCFTA. "Eso es solo de la gente con la que tratamos. Pensamos que es más grande que eso", agregó.

Los bancos más pequeños están siendo golpeados con este fraude porque, a diferencia de los bancos nacionales más grandes, tienden a no tener los controles en lugar para bloquear las transferencias fraudulentas de ACH, dijo Plesco. "Es una focalización estratégica de lo que se percibe como una debilidad en los controles, ya sea en la pequeña corporación [o en] el nivel de banco pequeño a mediano".

Los bancos están cubriendo algunas pérdidas de ACH, pero con demasiada frecuencia es el cliente en línea que dejó la cartera.

Karen Earhart descubrió lo rápido que el dinero puede desaparecer en la mañana del 15 de octubre. Earhart, el administrador de la Academia Cristiana Plainview en Plainview, Texas, llegó al trabajo ese jueves por la mañana para descubrir que $ 43,000 se habían movido fuera de la cuenta bancaria de la escuela durante la noche a través de transferencias de ACH a ocho cuentas.

"Los hackers se agregaron a nuestra nómina", dijo. Algunos de los nuevos beneficiarios eran personas reales, pero algunos estaban en cuentas bancarias recién abiertas con falsos nombres "rusos". Los nombres incluían palabras como "gotcha", "skunk" y "broma", dijo.

Típicamente, cuando se agregan nuevos empleados a la nómina de la escuela, deben proporcionar un cheque anulado y completar un formulario de autorización de nómina. Earhart se sorprendió de que los hackers pudieran agregar beneficiarios en línea sin esta documentación, y que el banco estaba dispuesto a pagarles. "Estaban dispuestos a enviar $ 10,000 una estampilla a personas que no estaban autorizadas para estar en nuestra nómina", dijo.

Earhart se contactó con el banco de la escuela de inmediato, y aunque invirtió la mayoría de las transacciones, Plainview Academy todavía está fuera $ 16,000 del fraude. Esa es una cantidad significativa de dinero para una escuela pequeña con un presupuesto anual en el rango de $ 1 millón, dijo Earhart.

Otras víctimas han demandado, diciendo que sus bancos nunca deberían haber autorizado las transferencias fraudulentas. El 9 de julio, el Distrito Escolar del Condado de Western Beaver demandó al Banco ESB, después de que los delincuentes se mudaran de las cuentas bancarias de la escuela por $ 704,610.35 durante las vacaciones de Navidad de 2008. Parte del dinero se recuperó, pero el distrito escolar de Pensilvania perdió más de $ 441,000 al final del día.

Plainview ahora ha comprado una nueva computadora portátil que está utilizando solo para la banca en línea, sin correo electrónico, sin Buscando en la web. Earhart espera que eso sea suficiente para evitar futuros fraudes. "No sé qué más podemos hacer además de entregar cheques en papel y usar efectivo".