A medida que evoluciona la tecnología del comercio electrónico, los estafadores encuentran lagunas y nuevos esquemas de fraude. ¿Qué está cambiando en el fraude cibernético, y qué puede hacer tu empresa para evitarlo?
En la actualidad, el comercio electrónico es una necesidad básica. Los clientes esperan rapidez y comodidad, y los confinamientos causados por el coronavirus durante el año 2020 no han hecho más que acelerar esa demanda. Con relación a esta situación que nos ha afectado a todos, en el Kaspersky Fraud Prevention: 2019 se observa un número creciente de delincuentes informáticos. Una de cada 50 sesiones financieras y de comercio electrónico en línea en todo el mundo es obra de un delincuente.
Entonces, ¿qué ha cambiado y qué está cambiando?
La falsa lealtad de los bots
Los clientes de comercio electrónico reciben frecuentemente bonificaciones como parte de los programas de lealtad, por ejemplo, por registrarse, incluir sus opiniones o referir amigos. Con los bots, los estafadores crean numerosas cuentas falsas y reciben bonificaciones al igual que los usuarios reales. El estafador utiliza las bonificaciones para comprar artículos a un precio con descuento y venderlos a continuación.
De esta manera, los bots se hacen con los mejores descuentos
Las investigaciones llevadas a cabo por Distil Networks estiman que alrededor del 40 por ciento del tráfico de los sitios de venta de entradas proviene de los bots Los estafadores compran entradas para conciertos, espectáculos y eventos deportivos con bots, y las revenden en las redes sociales, en sitios de compraventa o en sitios de reventa de entradas una vez agotadas las entradas para el evento en cuestión. Esto significa que los fans tienen más dificultades para conseguir entradas y acaban pagando más.
Los rastreadores copian los precios y las fotos
Los estafadores también utilizan bots rastreadores de webs (utilizados legítimamente por los motores de búsqueda para dar resultados precisos a las consultas de búsqueda) para «rastrear» los sitios web de los competidores de comercio electrónico, registrando los precios y haciendo los suyos más competitivos. También pueden robar contenido único, como imágenes y descripciones de productos, para utilizarlo en su sitio web, lo que perjudica las clasificaciones de búsqueda del sitio web original, debido a que los motores de búsqueda penalizan los sitios con contenido duplicado.
Los bots se parecen cada vez más a nosotros
En 2019 surgió una nueva generación de «bots humanos», diseñados para imitar el comportamiento humano de forma impecable. Anteriormente, los bots se movían por las páginas web con patrones de navegación repetitivos y simples. Sin embargo, la nueva generación de «bots humanos» hacen cosas que hacemos los humanos, como, por ejemplo agitar el ratón y realizar movimientos rápidos.
Este nuevo comportamiento «humano» es un problema para los sistemas antifraude. Hasta ahora, muchos confiaban en estas debilidades humanas para distinguir a los bots de los humanos.
Cómo manipulan los estafadores a los usuarios
La forma más sencilla para los estafadores de atacar a las empresas en línea es a través de los clientes. Utilizan estrategias de manipulación conocidas como ingeniería social. Asustan a la gente o se ganan su confianza para obtener credenciales como nombres de usuario y contraseñas, así como otra información personal.
Imagina que recibes una llamada de alguien diciendo que es del departamento de seguridad de un sitio de comercio electrónico que visitas. Te dice que alguien ha intentado comprar un artículo de gran valor con tu tarjeta de crédito y que para detener la transacción, debes descargar una aplicación de autenticación.
Luego vende tu información personal en la red opaca, abriendo las puertas a todo tipo de fraude, como, por ejemplo, utilizar tu nombre y tu cuenta bancaria para solicitar préstamos.
Las herramientas de acceso remoto (RAT, por sus siglas en inglés), utilizadas legítimamente por los equipos de soporte de TI en muchas empresas para acceder a la pantalla de tu ordenador para resolver problemas, son una poderosa herramienta para el fraude si están en las manos equivocadas. Los estafadores suelen dirigirse a los contables, porque trabajan con órdenes de pago. El estafador accede a la pantalla de la víctima sin su conocimiento y sustituye los datos bancarios por los suyos propios.
Es posible que reconozca los métodos empleados en estos ataques cada vez más frecuentes. Algunos no son nuevos. Por ejemplo, aquí mostramos tres tendencias emergentes en fraudes cibernéticos:
Tendencia 1: el fraude como un servicio
El delito cibernético es una forma fácil de ganar dinero sin salir de casa. Esto ha llevado a un rápido crecimiento del «fraude como servicio (FaaS.)». El FaaS hace que el fraude en Internet sea menos desafiante para los recién llegados, y aumenta el número de personas involucradas.
Los costos van desde tan solo 5 dólares por datos de tarjetas de crédito robadas, hasta miles de dólares por extensos cursos de ejecución de fraudes. El mercado está en auge. Los mercados digitales clandestinos venden bots, huellas digitales para acceder a distancia a los dispositivos y herramientas de anonimato que hacen que la actividad en Internet sea imposible de rastrear.
Tendencia 2: Reventa del acceso a la cuenta bancaria
Los delincuentes cibernéticos suelen dirigir sus ataques a pequeñas y medianas empresas (PYMES) financieras que han sido adquiridas por grandes actores, mientras ajustan su seguridad para cumplir los requisitos del comprador. Kaspersky descubrió, analizando foros y chats opacos en la web, que los grupos criminales se dirigen a estas empresas más pequeñas, para luego revender el acceso a las redes internas de ambas organizaciones. Predicen un aumento de este tipo de actividad, especialmente en África, Asia y Europa oriental.
Tendencia 3: Fugas de datos y falsificaciones
A todos nos encantan las compras cómodas y rápidas como el pedido con un solo clic de Amazon, a pesar de que estos métodos suelen significar guardar y compartir nuestra información personal. Sin embargo, no pasa más de un mes sin que se produzca una filtración de datos de alto perfil de un banco, tienda en línea o empresa de telecomunicaciones. A veces se exponen datos personales confidenciales de los clientes, como, por ejemplo, datos biométricos.
También estamos viendo el aumento de los métodos de suplantación en los cuales la imagen de una persona es reemplazada por otra, utilizando un sistema avanzando de edición de audio, foto y vídeo, conocidos como deepfakes (falsificaciones). Los estafadores ya han utilizado la imitación de voz creada mediante esta técnica conocida como deepfake e ingeniería social para hacerse pasar por un director general con éxito.
La mejor manera de proteger tu empresa frente a los estafadores de hoy en día
Los seis pasos indicados a continuación ayudarán a tu empresa a protegerse correctamente frente al fraude cibernético.
1. Evaluar los riesgos
El crecimiento, o cualquier tipo de cambio empresarial, suelen venir acompañados de la posibilidad de nuevos riesgos de actividades fraudulentas. Asegúrate de que la identificación de las oportunidades de fraude forme parte de tu actividad de evaluación de riesgos.
2. Revisar el diseño del producto
Observa el diseño de tus servicios digitales y tu programa de lealtad desde el punto de vista de un estafador. Trata de encontrar «lagunas» que puedan explotar los delincuentes.
3. Utilizar un sistema de detección y prevención del fraude
Estos sistemas pueden, por ejemplo, analizar las sesiones en línea, controlar las transacciones y analizar el comportamiento de los pagos. Ayudan a evitar las consecuencias financieras, de reputación y jurídicas del fraude y a reducir los costes operativos tales como el tiempo del equipo de asistencia técnica.
4. Reforzar la seguridad
Pon en marcha medidas de detección y protección, como un cortafuegos de aplicaciones web (WAF) para protegerte de los bots y una solución para protegerte frente a los ataques de denegación de servicio distribuido (DDoS).
5. Fortalecer al equipo
Asegúrate de que tus empleados comprenden cómo se produce el fraude y cómo combatirlo incluyendo el fraude cibernético en tu programa de formación de sensibilización cibernética.
6. Registrar el fraude
Mide con regularidad las pérdidas que ha causado el fraude en tu empresa. Incluye las pérdidas directas, las pérdidas indirectas y el impacto en la reputación de tu marca.
Si el fraude está afectando a tu empresa, contrata a un equipo de expertos en fraude para que te proporcione asistencia y te ayude a combatir futuros incidentes.
Tomando estas medidas, puedes reducir el riesgo ser víctima del fraude cibernético y aprovechar al máximo las oportunidades que trae consigo el auge del comercio electrónico.
Informe de Kaspersky Fraud Prevention
Sigue este enlace para descubrir información detallada basada en investigaciones internacionales diseñadas para ayudarte a navegar por el entorno actual de fraudes de este año 2020.
Fuente: https://www.kaspersky.com/blog/secure-futures-magazine/cyber-fraud-prevention/35831/