¿Qué es el account takeover?
Account takeover (ATO) es un tipo de fraude en el que los ciberdelincuentes logran acceder y controlar las cuentas bancarias de los usuarios con el objetivo de realizar transacciones no autorizadas, transferir fondos u llevar a cabo otras actividades maliciosas.
Para cometer este crimen, los defraudadores generalmente necesitan acceder o falsificar al menos una de estas tres informaciones:
Nombre de usuario y contraseña: La forma más común de vulnerar cuentas implica el uso de nombres de usuario robados o filtrados y combinaciones de contraseñas. El riesgo se incrementa con contraseñas débiles o reutilizadas, por lo que se recomienda que los usuarios utilicen contraseñas sólidas y diferentes para cada cuenta que posean
Número de teléfono celular: Se utilizan para que los defraudadores accedan al segundo factor de autenticación (2FA). Al obtener acceso al teléfono de la víctima, los ciberdelincuentes pueden interceptar códigos de autenticación enviados por mensaje, eludiendo capas adicionales de seguridad. Además, los teléfonos pueden ser manipulados por los defraudadores que aprovechan las permisiones de accesibilidad, permitiéndoles controlar el dispositivo de la víctima mediante aplicaciones maliciosas que monitorean todo el contenido mostrado y brindan acceso a otras aplicaciones instaladas en el dispositivo.
Cuenta de correo electrónico: Son elementos clave en los procesos de recuperación de cuentas. Los defraudadores que logran acceder a los correos electrónicos de las víctimas pueden restablecer contraseñas de varias cuentas vinculadas a la dirección de correo electrónico.
Esta información se obtiene mediante técnicas como:
- Ataques de ingeniería social: Los defraudadores manipulan a usuarios desprevenidos para exponer datos, infectar dispositivos con malware o dar acceso a sistemas restringidos.
El phishing o spear-phishing es un ejemplo de este tipo de amenaza y el más común en el ATO. En estos ataques, los criminales envían mensajes o correos electrónicos que parecen provenir de fuentes legítimas, como bancos u organizaciones de confianza. Estos mensajes a menudo contienen enlaces a sitios falsos creados para recopilar información confidencial o para que el usuario instale un malware. Según algunas estimaciones, se envían más de 3.000 millones de correos electrónicos maliciosos todos los días. - Ataque de fuerza bruta: El defraudador intenta violar una contraseña o nombre de usuario mediante un enfoque de prueba y error, esperando que en algún momento sea posible adivinarla. También pueden usar herramientas que ayudan a automatizar el ataque.
- Credential stuffing: Los defraudadores utilizan bots para probar combinaciones de nombres de usuarios y contraseñas en varios sitios. Por ejemplo, pueden probar las credenciales de una cuenta de comercio electrónico en la cuenta bancaria. Esto se debe a que las personas suelen reutilizar sus contraseñas en diferentes plataformas, lo que significa que si una cuenta se ve comprometida, las demás también corren riesgo.
- Cambio de SIM: Los criminales engañan a la operadora de telefonía móvil de la víctima y la convencen de transferir el número de teléfono a una nueva tarjeta SIM, a la cual solo ellos tienen acceso. Esto les permite recibir códigos de autenticación y controlar las cuentas vinculadas al número de teléfono de la víctima.
Explorando una táctica nueva y alarmante: abuso de permisos de accesibilidad
A medida que la tecnología avanza, las técnicas utilizadas por los defraudadores para llevar a cabo ataques de toma de cuentas también evolucionan y se vuelven cada vez más sofisticadas. Los cibercriminales cambian constantemente sus tácticas para evadir los sistemas de seguridad, lo que dificulta la detección y prevención.
Además de todos los métodos mencionados anteriormente, hay una táctica nueva y particularmente alarmante en juego: los defraudadores ahora están explotando los permisos de accesibilidad para realizar ataques de toma de cuentas (ATO). A diferencia de las tácticas tradicionales, donde los defraudadores necesitan acceso a cuentas de correo electrónico, nombres de usuario y contraseñas, o un número de teléfono para llevar a cabo el fraude, este nuevo enfoque les permite obtener acceso remoto a los dispositivos de los usuarios. ¿Aterrador, verdad? Antes de profundizar en los detalles de cómo funciona, comprendamos qué es.
Los recursos de accesibilidad están disponibles en los sistemas operativos Android e iOS para ayudar a los usuarios a utilizar sus teléfonos inteligentes, especialmente aquellos con necesidades especiales como personas mayores. Las funcionalidades incluyen lectura de pantalla, comandos de voz, captura de teclas digitadas y otras tecnologías de asistencia.
Para habilitar estos servicios en una aplicación, se requiere permiso de accesibilidad, que otorga a las aplicaciones acceso total al dispositivo del usuario. Aunque el permiso es importante para habilitar las funciones de accesibilidad, también conlleva riesgos que pueden comprometer los datos de los usuarios. Esto se debe a que, si es utilizado por defraudadores, puede convertirse en una herramienta para actividades maliciosas.
Cada vez más, los cibercriminales están aprovechando esta función para tomar el control de los teléfonos inteligentes y cometer fraudes. Cuando esto sucede, los usuarios se vuelven incapaces de desinstalar la aplicación o incluso reiniciar el dispositivo.
Cómo sucede esto en la práctica:
1. Un usuario instala un malware a través de un enlace de phishing que recibe por correo electrónico o SMS. El mensaje finge ser de una aplicación legítima.
2. La aplicación maliciosa comienza a enviar notificaciones solicitando al usuario que permita la accesibilidad.
3. El usuario concede el permiso, y el defraudador comienza a controlar el dispositivo (todo lo que se muestra en la pantalla, lo que se escribe y todas las aplicaciones instaladas).
4. El cibercriminal accede a la lista de aplicaciones instaladas en el dispositivo y recopila datos que el usuario ingresa o muestra en su pantalla (nombre de usuario, contraseña, números de tarjetas de crédito, etc.) e intercepta el código de autenticación.
5. Al acceder a toda esta información, el defraudador ingresa a la cuenta bancaria de la víctima y realiza transacciones fraudulentas y robo de fondos.
Durante el ataque, el malware explota los servicios de accesibilidad para:
- Espiar la actividad de los usuarios.
- Impedir la eliminación de la aplicación maliciosa, ya sea desde la pantalla de inicio o desde la configuración.
- Evitar la suspensión o el apagado del proceso.
Impacto del Account Takeover (ATO) en el sector de bancos digitales
En el mundo de los bancos digitales, donde todas las transacciones ocurren en línea, el fraude de account takeover (ATO) es un problema importante.
A continuación, se presentan los principales impactos de este tipo de fraude:
Pérdidas financieras: Los account takeovers resultan en pérdidas financieras tanto para las instituciones bancarias como para los clientes cuyas cuentas han sido violadas.
Violación de datos: Un ATO exitoso generalmente implica la violación de información confidencial del usuario. Esto puede incluir credenciales de inicio de sesión, detalles personales y datos financieros. La exposición de esta información puede tener consecuencias graves para las personas afectadas y socavar la confianza en los servicios bancarios digitales.
Robo de identidad: Al tomar el control de la cuenta de un usuario, los defraudadores pueden hacerse pasar por el titular de la cuenta, lo que les permite cometer una serie de otros delitos relacionados con la identidad, como solicitar préstamos, tarjetas de crédito y otras fraudes financieras en nombre de la víctima.
Falta de confianza de los usuarios: Los clientes esperan que sus instituciones financieras brinden servicios confiables, asegurando la seguridad de sus datos y dinero. Un incidente de account takeover puede romper la confianza y llevar al usuario a cerrar su cuenta y buscar servicios en la competencia.
¿Cómo prevenir el Account Takeover (ATO) y garantizar la seguridad de las cuentas bancarias?
Proteger tu aplicación bancaria y las cuentas de tus clientes contra el fraude de account takeover es esencial. Esto implica implementar un software de prevención de fraudes con un enfoque proactivo ante un problema que es constante y evoluciona con el tiempo.
La solución de inteligencia de riesgo de SHIELD identifica el fraude en la raíz y analiza miles de dispositivos y redes de datos comportamentales para proporcionar conocimientos accionables en tiempo real. Nuestra tecnología permite detectar intentos de account takeover mediante la combinación de los siguientes recursos:
SHIELD Device ID
Identifica cada dispositivo físico utilizado para acceder a tu aplicación bancaria. Es extremadamente preciso y persistente, detectando cuando el defraudador intenta enmascarar la huella del dispositivo o restaurar el dispositivo para que parezca nuevo. Nuestra tecnología patentada de huellas dactilares de dispositivos es clave para detectar y eliminar ataques de account takeover. Señala dispositivos sospechosos y configuraciones que indican que alguien está intentando falsificar un dispositivo para acceder a una cuenta.
SHIELD Risk Intelligence
Monitoreamos de manera continua cada sesión de dispositivos, devolviendo señales de riesgo en tiempo real para proporcionar una visión completa de la actividad del usuario en tu ecosistema. Esto implica detectar abusos de permisos de accesibilidad e identificar con precisión cuándo un buen usuario presenta repentinamente signos de comportamiento fraudulento. Las herramientas utilizadas para estas actividades pueden incluir autoclickers, compartir pantalla y emuladores, que son indicadores claros de una explotación de permisos de accesibilidad.
Enriquecemos tus modelos de datos con señales precisas del dispositivo, que identifican el uso de herramientas y técnicas maliciosas utilizadas para llevar a cabo ataques ATO, como emuladores, compartir pantalla, clonadores de aplicaciones, sistemas operativos virtuales, GPS spoofers, entre otros.
Nuestra tecnología también permite que tu plataforma esté siempre un paso adelante de los defraudadores con nuestra Red Global de Inteligencia: una biblioteca actualizada continuamente con todos los patrones de fraude que hemos visto, así como las últimas técnicas maliciosas. Analizamos más de 7 mil millones de dispositivos y más de mil millones de cuentas de usuarios en todo el mundo. Utilizamos esta inteligencia para sincronizar patrones de ataque en tiempo real, asegurando un enfoque proactivo en la lucha contra el fraude.
Cómo el banco digital más grande de Filipinas eliminó los intentos de Account Takeover (ATO) con SHIELD
Reconociendo que las constantes amenazas de fraude, principalmente de account takeover, representan un desafío para el sector, Maya, el banco digital más grande de Filipinas, eligió Device Intelligence, la solución de SHIELD, para fortalecer la seguridad de su aplicación.
La tecnología es la primera línea de defensa contra el fraude y cuenta con modelos de aprendizaje automático e inteligencia artificial para analizar en tiempo real miles de dispositivos, redes y datos comportamentales de los usuarios.
La herramienta más potente de la solución es el SHIELD Device ID, el estándar global de identificación de dispositivos, que elimina las cuentas falsas desde la raíz al identificar cada dispositivo físico asociado a la creación de numerosas cuentas falsas.
La tecnología también cuenta con Risk Intelligence, una función que previene el uso de malware y otras herramientas maliciosas asociadas con el fraude, incluyendo autoclickers, clonadores de aplicaciones y emuladores, eliminando la amenaza de que los defraudadores abusen de los permisos de accesibilidad para llevar a cabo ataques de ATO.
Como resultado, Maya eliminó por completo los intentos de account takeover en su aplicación, asegurando un ecosistema confiable y seguro para sus usuarios.
