Alertan sobre nuevas técnicas de fraude bancario online
El fraude bancario online va en aumento y cada vez es más sofisticado. Se ha confirmado la utilización de técnicas capaces de sortear la autenticación de doble factor. Gracias a esos sistemas, los fraudes bancarios online ya superan anualmente los 75 millones de dólares.
Las nuevas técnicas de automatización suponen un paso más hacia los denominados ataques man-in-the-browser (MitB), una suerte de amenaza que ha surgido al rebufo de nuevas especies de malware, como Zeus o SpyEye.
Los ataques dirigidos contra la banca online disponen desde hace tiempo de recursos como inocular contenido falso en forma de pop-ups dentro de las Webs de las entidades, al intentar acceder a ellas desde ordenadores infectados. Este método ya constituye una forma habitual de robo de datos y claves de acceso bancarias de los clientes.
Sin embargo, los ladrones utilizan, cada vez con más frecuencia, infecciones malware con comandos alojados en servidores, para suplantar sesiones de banca online convencionales y realizar transferencias fraudulentas en tiempo real, aseguran analistas de McAfee y Guardian Analytics en un reciente informe.
Los comandos alojados externamente y reclamados por este tipo de malware permiten controlar Webs bancarias concretas y desencadenar automáticamente el proceso de fraude completo. Así, acceden a balances de cuentas y pueden transferir sumas concretas a mulas (o intermediarios), que son elegidos 
automáticamente de una base de datos que se actualiza constantemente, según los expertos.
Este tipo de ataques automáticos, denominados “Operation High Roller”, se detectó por primera vez en Europa, sobre todo en Italia, Alemania y Holanda. Sin embargo, en marzo pasado también fue descubierto en Latinoamérica y Estados Unidos.
Extrapolando los datos derivados de los ataques europeos, los expertos estiman que esta modalidad de robo ha ocasionado a las entidades unas pérdidas de entre 75 a 2.500 millones de dólares.
El ataque se dirige fundamentalmente contra cuentas de empresas que mueven varios millones de dólares y sortean los sistemas de autorización habituales de la banca online, ya que interceptan el proceso de autenticación de los clientes y capturan las contraseñas generadas por sus claves para, posteriormente, aprovecharlas para fines fraudulentos. En ese tiempo, el usuario recibe en su pantalla un amable mensaje de espera.
“La vulneración del proceso de autenticación de doble factor que utilizan los equipos físicos supone una importante vía de acceso para el fraude”, alertan los expertos. “Las entidades financieras deben tomarse en serio su renovación, especialmente considerando que las técnicas habituales empleadas pueden extenderse a otro tipo de hardware de seguridad”, concluyen.
