La Oficina Federal de Investigaciones (FBI) de Estados Unidos ha advertido que los ciberdelincuentes se están haciendo pasar por instituciones financieras con el objetivo de robar dinero e información confidencial para facilitar esquemas de fraude de apropiación de cuentas (ATO).
La agencia dijo que la campaña está dirigida a individuos, empresas y organizaciones de diversos tamaños y sectores, y agregó que el plan fraudulento ha causado más de 262 millones de dólares en pérdidas desde principios de año. El FBI anunció que había recibido más de 5.100 denuncias.
El fraude ATO generalmente se refiere a ataques que permiten a los actores de amenazas obtener acceso no autorizado a instituciones financieras en línea, sistemas de nómina y cuentas de ahorro para la salud y desviar datos y fondos para beneficio personal. El acceso a menudo se obtiene acercándose a los objetivos mediante técnicas de ingeniería social, como mensajes de texto, llamadas telefónicas, correos electrónicos y sitios web falsos que se aprovechan de las inseguridades de los usuarios.
Estos métodos permiten a los atacantes engañar a los usuarios para que proporcionen credenciales de inicio de sesión en un sitio de phishing y, en algunos casos, hacer clic en un enlace para informar supuestas transacciones fraudulentas registradas en la cuenta del usuario.
«Los ciberdelincuentes se hacen pasar por empleados de instituciones financieras, atención al cliente o personal de soporte técnico para manipular a los titulares de cuentas para que revelen sus credenciales de inicio de sesión, incluidos códigos de autenticación multifactor (MFA) y códigos de acceso de un solo uso (OTP)», dijo el FBI.
«Los ciberdelincuentes utilizan las credenciales de inicio de sesión para iniciar sesión en sitios web legítimos de instituciones financieras, comenzar a restablecer contraseñas y, en última instancia, tomar el control total de la cuenta».
En otros casos, los atacantes que se hacen pasar por instituciones financieras contactan a los titulares de cuentas, alegando que la información se utilizó para realizar compras fraudulentas con armas de fuego y convenciéndolos de que proporcionen la información de la cuenta a un segundo ciberdelincuente que se hace pasar por una agencia encargada de hacer cumplir la ley.
El FBI dijo que el fraude ATO también puede incluir el uso de envenenamiento por optimización de motores de búsqueda (SEO) para engañar a los usuarios que buscan empresas en motores de búsqueda para que hagan clic en enlaces falsos que los redireccionan a sitios similares a través de anuncios maliciosos en motores de búsqueda.
Independientemente del método utilizado, el ataque tiene un objetivo. La idea es tomar el control de la cuenta, transferir rápidamente fondos a otras cuentas bajo su control y cambiar la contraseña, bloqueando efectivamente al propietario de la cuenta. La cuenta a la que se transfieren los fondos está además vinculada a una billetera de criptomonedas, convirtiéndola en activos digitales y oscureciendo el rastro de los fondos.
Para protegerse de esta amenaza, se recomienda a los usuarios que tengan cuidado al compartir información sobre ellos mismos en línea y en las redes sociales, que controlen periódicamente sus cuentas para detectar fraudes financieros, que utilicen contraseñas únicas y complejas, que comprueben las URL de los sitios web bancarios antes de iniciar sesión y que permanezcan atentos a los ataques de phishing y a las personas que llaman sospechosas.
«Compartir información abiertamente, como el nombre de su mascota, la escuela a la que asistió, la fecha de nacimiento e información sobre su familia, puede proporcionar a los estafadores la información que necesitan para adivinar contraseñas o responder preguntas de seguridad», dijo el FBI.
«La mayoría de las cuentas ATO mencionadas en el anuncio del FBI se originaron a través de credenciales comprometidas utilizadas por atacantes que estaban familiarizados con los procesos internos y los flujos de trabajo de transferencia de fondos dentro de las instituciones financieras», dijo Jim Routh, director de confianza de Saviynt, en un comunicado.
«Los controles más efectivos para prevenir estos ataques son manuales (llamadas telefónicas de confirmación) y mensajes SMS para autorización. La causa principal es que el uso de credenciales de cuentas en la nube todavía se acepta a pesar de que hay opciones sin contraseña disponibles».
El desarrollo se produce cuando Darktrace, Flashpoint, Forcepoint, Fortinet y Zimperium destacan las principales amenazas a la ciberseguridad antes de la temporada navideña, incluidas estafas del Black Friday, estafas de códigos QR, filtraciones de tarjetas de regalo y campañas de phishing a gran escala que copian marcas populares como Amazon y Temu.
Muchas de estas operaciones utilizan herramientas de inteligencia artificial (IA) para crear correos electrónicos de phishing, sitios web falsos y anuncios en redes sociales muy convincentes, lo que permite que incluso atacantes menos capacitados realicen ataques que parecen creíbles y aumentan la tasa de éxito de sus campañas.
Fortinet FortiGuard Labs dijo que ha registrado al menos 750 dominios maliciosos con temas navideños en los últimos tres meses, muchos de los cuales utilizan palabras clave como «Navidad», «Viernes Negro» y «ventas flash». «Durante los últimos tres meses, más de 1,57 millones de cuentas de inicio de sesión vinculadas a importantes sitios de comercio electrónico han sido puestas a disposición a través de registros de plagio y recopiladas en mercados clandestinos», dijo la compañía.
También se ha descubierto que los atacantes explotan activamente las vulnerabilidades de seguridad en Adobe/Magento, Oracle E-Business Suite, WooCommerce, Bagisto y otras plataformas populares de comercio electrónico. Las vulnerabilidades explotadas incluyen CVE-2025-54236, CVE-2025-61882 y CVE-2025-47569.
Según Zimperium zLabs, los sitios de phishing móvil (también conocidos como desaparecidos) se han cuadruplicado, y los atacantes aprovechan marcas confiables para crear urgencia y engañar a los usuarios para que hagan clic, inicien sesión o descarguen actualizaciones maliciosas. «
Recorded Future también llama la atención sobre el fraude en las compras, donde los atacantes utilizan tiendas de comercio electrónico falsas para robar los datos de las víctimas y autorizar pagos fraudulentos por bienes o servicios inexistentes. La compañía describió estas estafas como una «importante amenaza de fraude emergente».
«El sofisticado ecosistema de la web oscura permite a los atacantes establecer rápidamente una nueva infraestructura de fraude en compras y ampliar su impacto», dijo la compañía. «Las campañas promocionales que reflejan el marketing tradicional están muy extendidas en este mundo clandestino, como ofertas para vender datos de tarjetas robadas de la tienda de tarjetas de la web oscura PP24».
“Para difundir el fraude en las compras, los atacantes utilizan tarjetas de pago robadas para financiar campañas publicitarias, lo que provoca que se comprometan aún más datos de las tarjetas de pago y se acelera aún más la cadena de fraude.
Source link
