En este artículo exclusivo de Cyber Talk, el CEO de SEON, Tamas Kadar, comparte información sobre las pesadillas de fraude más recientes, incluidas las adquisiciones de cuentas, y lo que las empresas deben saber para combatir eficazmente el fraude.
A medida que avanzamos hacia 2023, las adquisiciones de cuentas se están convirtiendo en una preocupación creciente, para casi cualquier tipo de negocio en línea. En 2022, vimos algunos casos notables de fraude de adquisición de cuentas, cuando un delincuente obtiene los datos de inicio de sesión de un cliente legítimo y usa la cuenta como si fuera suya. Además, los estafadores se están adaptando al auge de la tecnología financiera. Descubriremos algunas de sus nuevas tácticas y cómo puede evitar que los estafadores se aprovechen de usted y de sus clientes.
Los estafadores están adaptando sus técnicas. Hace apenas unos meses, la compañía de apuestas en línea DraftKings perdió 3 300,000 dólares como resultado de ser el objetivo de ataques de relleno de credenciales. Con ataques como este en aumento, vale la pena comprender por qué se están volviendo populares entre los delincuentes y, por supuesto, qué puede hacer al respecto.
Los estafadores utilizarán listas de nombres de usuario y contraseñas vulnerados de infracciones y ataques cibernéticos anteriores con la esperanza de que los titulares de cuentas continúen utilizando las mismas combinaciones de nombre de usuario y contraseña para otros sitios (sin actualizarlos a la luz de la infracción). Esto lo convierte en una especie de toma de control de la cuenta, ya que implica el uso de los detalles de la cuenta preexistentes de un cliente legítimo (en lugar de construir una identidad de diferentes víctimas, como es el caso de with fraude de identidad sintética). Los sitios de comercio electrónico toman nota: el programa de anualidades Due descubrió que el 90% de los intentos de inicio de sesión en plataformas de comercio electrónico fueron realizados por piratas informáticos que utilizaron credenciales robadas.
Como Paul Liberman, presidente de DraftKings, le dijo a DARKreading: "Actualmente creemos que la información de inicio de sesión de estos clientes se vio comprometida en otros sitios web y luego se usó para acceder a sus cuentas de DraftKings donde usaron la misma información de inicio de sesión."Por lo tanto, el relleno de credenciales puede afectar a cualquier empresa, independientemente de si ellos mismos han experimentado una violación; todo lo que se necesita es que la misma información de inicio de sesión de la cuenta se viole en otro sitio web para que sus clientes (y usted) se pongan en riesgo de inmediato . DraftKings no fue el único en ser un objetivo de relleno de credenciales este año – de hecho, Compañía rápida encontrada que Dunkin ' Donuts también sufrió dos de estos tipos de ataques en 2022.
Afortunadamente, sin embargo, puede mitigar las adquisiciones de cuentas basadas en relleno de credenciales. Haveibeenpwned por ejemplo utiliza k-anonymity con su lista constantemente actualizada de contraseñas filtradas para confirmar de forma anónima si una contraseña forma parte de un conjunto filtrado o no (sin tener que proporcionar la contraseña real). Sin embargo, debe implementarlo para que sea útil. K-el anonimato es una propiedad de algunos tipos de datos y le indica si puede volver a identificarlos o no. En este caso, los datos son anónimos porque se han agrupado en un grupo más grande de datos con información similar, lo que significa que los datos podrían atribuirse a cualquier persona del grupo. Esto hace que sea más difícil rastrearlo hasta una sola persona.
Si está tratando de entrar en la mente de un delincuente, DraftKings como objetivo de la toma de control de la cuenta tiene sentido: puede usar los detalles de la cuenta de un cliente para acceder a los fondos que ha depositado a través de su aplicación de pagos móviles o cableado bancario. Esto hace que la billetera DraftKings se parezca mucho a una billetera electrónica.
El auge de fintech ha visto un aumento en el uso de billeteras electrónicas, con clientes cada vez más propensos a usar cuentas de Google, cuentas de tiendas electrónicas como Amazon o incluso aquellos independientes más pequeños que usan Shop (que también almacena los detalles de la tarjeta de un cliente para que puedan reutilizarlos nuevamente en futuras compras a través de la aplicación). Según una encuesta, la adopción de pagos móviles alcanzará los 4.800 millones para 2025, y Apple Pay será el servicio de pago móvil más popular en los EE., el Banco de la Reserva Federal de Atlanta encontró que la proporción de clientes "making que realizan al menos una compra en línea en un mes típico aumentó del 59 por ciento en 2019 al 66 por ciento en 2020". Cuando agrega esta investigación, está claro que los clientes invierten cada vez más en transacciones en línea.
Las billeteras electrónicas (y cualquier sitio web que permita a un usuario almacenar las credenciales de su tarjeta para el caso) son increíblemente atractivas para los delincuentes, ya que significa que tienen acceso directo a la información de la tarjeta de un cliente, desde la cual pueden drenar cualquier fondo.
Ya sea que sea una institución financiera o un sitio de comercio electrónico, vale la pena investigar cómo puede evitar que esta forma de ataque cause un daño importante a su presupuesto y reputación. En la guía de SEON para la prevención del fraude bancario, explicamos cómo los bancos pueden proteger las cuentas de sus clientes del fraude de adquisición de cuentas en parte al monitorear de cerca las transacciones de los clientes, así como en el paso de inicio de sesión.
Como ya sabrá, las instituciones financieras y los bancos deben cumplir con las regulaciones contra el Lavado de Dinero (AML) y Conozca a su Cliente (KYC), lo que significa que esta debe ser una etapa de su proceso de detección y prevención de fraudes. Es posible que esté haciendo esto a través de la verificación de documentos o el escaneo biométrico, para averiguar si un cliente es exactamente quien dice que es en el registro.
Sin embargo, puede combinar esto con el enriquecimiento de datos para brindarle aún más información que lo ayude a atrapar a los estafadores antes. Independientemente de si es una institución financiera o sitio de comercio electrónico, el enriquecimiento de datos puede brindarle una imagen mucho más amplia de su cliente y su huella digital.
Si intentas atrapar a un delincuente cuando inicia sesión en la cuenta de un usuario, es posible que solo tengas algunas pistas que sugieran que estos intentos son sospechosos. Entonces, ¿qué información tiene durante el inicio de sesión? Obtiene 1) una dirección IP 2) el dispositivo utilizado para iniciar sesión 3) acciones que un usuario está realizando en el sitio web. Con las herramientas de búsqueda de IP y la huella digital del dispositivo, puede monitorear estos puntos de datos y recurrir a ellos para proporcionar una imagen mucho más amplia del usuario que ha intentado acceder a esa cuenta.
¿Cómo funciona la huella dactilar del dispositivo? La huella digital del dispositivo crea un ID o hash único para cada usuario que inicia sesión con un dispositivo específico. Un ID único se basa en información sobre el dispositivo de un usuario, incluido el navegador que está utilizando, así como si está utilizando máquinas virtuales o emuladores. Puede crear una lista negra para los usuarios que intentan iniciar sesión a través de un dispositivo o navegador desconocido, o pedirles que proporcionen más información.
También puede combinar esto con el análisis de IP: al enriquecer la dirección IP de un usuario, puede averiguar si es a través de un navegador VPN o Tor. Como esto es sospechoso, puede pedirle al usuario que proporcione más información para confirmar que es quien dice ser. Esto puede venir en forma de activación Autenticación de Dos Factores (2FA) cuando sea necesario. También podría implicar que el usuario proporcione algún tipo de verificación, como una selfie o una llamada de video/voz con su equipo de soporte.
Además, puede recordarles a sus clientes que actualicen sus contraseñas con regularidad (especialmente si no lo han hecho en mucho tiempo) o que utilicen una contraseña completamente nueva para registrarse con usted.
Ya sea que se trate de una institución financiera, un banco o un sitio de comercio electrónico, es importante tener en cuenta la adquisición de cuentas, en particular el relleno de credenciales, a medida que más clientes recurren a realizar pagos en línea. Las empresas de todos los tamaños han perdido sumas considerables de dinero debido a este tipo de ataque cada vez más problemático, como hemos visto en los informes de este año. Sin embargo, fortalecer adecuadamente sus defensas y educar a sus clientes sobre la necesidad de actualizar sus datos de inicio de sesión puede ayudarlo a protegerse contra este tipo de adquisición de cuentas.
Sobre el Autor
Cofundador de SEON Fraud Fighters, la startup húngara que batió récords de financiación, Tamas Kadar es también el fundador de la primera criptobolsa de Europa Central. De hecho, fueron eventos fortuitos en ese momento los que lo llevaron a comenzar a trabajar en su propia empresa de prevención de fraudes, cuando se dio cuenta de que lo que ya estaba en el mercado no cubría sus necesidades. Comenzando con la audaz idea de utilizar huellas digitales y señales sociales para evaluar las verdaderas intenciones de los clientes, SEON promete democratizar la lucha contra el fraude. Hoy en día, la compañía protege más de 5000 marcas en todo el mundo como una solución de prevención de fraudes integral, totalmente personalizable e intuitiva, independiente de la industria, que está altamente clasificada en la industria.
Post Aumento y diversificación de las adquisiciones de cuentas, pero hay una solución apareció primero en Charla cibernética.