Para combatir el fraude bancario con cabeza de Hidra los bancos tienen que unir fuerzas

07/10/2014 | Martin Arnold – Financial Times Español

Hay una nueva amenaza en el mundo del fraude financiero: el vishing. La mayoría de la gente ha escuchado sobre el phishing, el cual intenta obtener el dinero de los clientes bancarios mediante un email. El vishing persigue el mismo objetivo, pero utilizando la voz de alguien.

La táctica usual para cometer este fraude consiste en hacerte una llamada, fingiendo ser parte del equipo de seguridad de un banco o tarjeta de crédito. Te dicen que ha habido un problema con tu cuenta y te piden llamar al número de emergencia anotado en la parte de atrás de tu tarjeta.

Sin embargo, cuando cuelgas, el defraudador permanece en la línea durante varios minutos y genera un tono falso de marcado. Así que mientras tú crees que estás llamando a tu banco de hecho sigues conectado con la línea del defraudador. Es entonces cuando te pide los detalles de tu cuenta o, peor aún, te dice que tu cuenta está en peligro y te da instrucciones para transferir tu dinero a una nueva cuenta que te han abierto.

El equipo anti-fraude de la industria bancaria del Reino Unido, Financial Fraud Action UK, dice que las pérdidas británicas debidas al fraude por internet y teléfono aumentaron un 59 por ciento durante los primeros seis meses de este año llegando a 35,9 millones de libras. Y agrega que los informes de ataque vía vishing indican que es uno de los tipos de fraude de mayor crecimiento.

La respuesta de los bancos ha sido pedir a las empresas telefónicas del Reino Unido que reduzcan el tiempo que la gente puede permanecer en la línea después de que la otra parte haya colgado. El próximo año la mayoría de las operadoras telefónicas tendrán que reducir el tiempo de desconexión a dos segundos.

El vishing es solo uno de los ejemplos de la constante evolución de las ciber amenazas a las que se enfrentan los bancos y sus clientes, por lo cual el tema ha saltado a la agenda de las juntas directivas, reguladores y cuerpos judiciales.

Un ejemplo igualmente alarmante es la revelación que hizo JPMorgan Chase la semana pasada de que los detalles de contacto de 76 millones de hogares y 7 millones de empresas habían sido robados en un ciber ataque que penetró las defensas digitales de los mayores bancos estadounidenses por activos. JPMorgan dijo que ni los detalles de las cuentas, los números de la Seguridad Social, fechas de nacimiento o claves habían sido robadas y no se habían visto actividades fraudulentas inusuales desde entonces.

Pero hay grandes dudas acerca de por qué se tardó tanto tiempo en detectar y revelar esta intromisión ocurrida en junio. Gente relacionada con este tema dijo que el ataque se originó en Rusia y hasta nueve bancos más fueron su objetivo.

Expertos en ciber seguridad dicen que los bancos se enfrentan a cuatro tipos generales de amenazas.

Primero, las naciones-estado utilizan el espionaje tanto para robar capital intelectual a los bancos como para desestabilizarlos. Segundo, los bancos son el primer objetivo de los ciber terroristas que buscan atacar los símbolos del capitalismo occidental.

Tercero, los llamados “hackivistas” regularmente realizan intentos oportunistas para entrar en las redes IT bancarias, usualmente para obtener más publicidad para su causa. Y finalmente, el crimen organizado ha cambiado en gran manera sus métodos de robar bancos utilizando ahora otros medios, tales como internet, vía telefónica y fraudes con tarjeta, los cuales son difíciles de detectar.

Los bancos dicen que los reguladores como el banco de Inglaterra y la Reserva Federal de los EE. UU. los han estado presionando para identificar las amenazas y probar su resiliencia cibernética con un programa llamado “hacking ético”.

Los bancos están dirigiendo amplios recursos a este problema. A finales de este año JPMorgan espera destinar 250 millones de dólares anuales en ciber seguridad y haber formado y contratado alrededor de mil especialistas para trabajar en esta área.

Sin embargo, los expertos en ciber seguridad dicen que los bancos todavía necesitan hacer más, especialmente en reunir información y cooperar en detectar fraudes y amenazas cibernéticas. Algunos organismos financieros comparten información sobre fraudes y ciber ataques pero tienen sus limitaciones. Algunos bancos de los EE. UU. temen que el compartir información viole las reglas de privacidad. Los bancos británicos solo transmiten casos a la base de datos sobre fraudes cuando hay suficiente información para realizar una demanda.

Otras industrias van más lejos. Las aseguradoras británicas comparten toda la información sobre las reclamaciones automovilísticas para detectar patrones de fraude y denunciarlos. Los bancos ya están estableciendo instalaciones centralizadas para compartir recursos sobre el historial de “conoce a tu cliente”.

El ciber crimen es quizás un área más importante cuando hay poca ventaja de ser el líder del mercado pero sí puede perderse mucho si las cosas marchan mal.

Al enfrentarse a millones de ataques anualmente, los bancos están metidos en lo que los expertos en ciber seguridad describen como un “carrera armamentística”. Tendrán mejores oportunidades de evitar un destino como el de JPMorgan, o peor, si unen sus recursos y trabajan juntos.

Hydra-headed fraud threat means banks must pool resources

10/07/2014 | Martin Arnold – Financial Times English

There is a fiendish new arrival in the world of financial fraud: vishing. Most people have heard of phishing, which aims to trick people out of their money with an email. Vishing aims to achieve the same result, but using someone’s voice instead.

What typically happens is the fraudsters give you a call, posing as a bank or credit card security team. They say there has been a problem with your account and ask you to phone the emergency number on the back of your card.

However, when you hang up, the fraudster stays on the line for several minutes and generates a fake dial tone. So while you think you are dialling your bank, in fact you are still connected to the conmen. They then either ask you for your account details, or – even worse – say that your account has been compromised and instruct you to move your savings to a new account they have set up.

Financial Fraud Action UK, an industry body, says British losses from internet and telephone banking fraud rose 59 per cent to £35.9m in the first six months of the year. It says that reports of vishing attacks indicate it is one of the fastest growing types of fraud.

In response the banks have called for UK telecom groups to reduce the time people can stay on the line after someone else hangs up. By next year, most telecom operators will have cut the disconnection time to two seconds.

Vishing is only one example of the constantly evolving cyber threat that banks and their customers face, which is why the issue has vaulted on to the agenda for boards of directors, regulators and law enforcement agencies.

An equally troubling example is JPMorgan Chase’s disclosure last week that contact details for 76m households and 7m companies were stolen in a cyber attack that penetrated the digital defences of the biggest US bank by assets. JPMorgan said no account details, Social Security numbers, dates of birth or passwords were compromised and it had not seen any unusual fraud activity since then.

But there are big questions about why it took so long to detect and disclose a breach that happened back in June. People familiar with the matter said the attack originated in Russia and up to nine other banks were targeted.

Cyber security experts say banks face four broad types of threat.

First, nation states use espionage to both steal intellectual capital from banks and to destabilise them. Secondly, banks are a prime target for cyber terrorists seeking to strike against symbols of western capitalism.

Third, so-called “hacktivists” regularly make opportunistic attempts to break into banks’ IT networks, usually to win more publicity for their cause. And finally, organised crime has largely shifted from stealing money through traditional bank heists to using other means, such as online, telephone and card fraud, which are harder to detect.

Banks say regulators such as the Bank of England and the US Federal Reserve have been pushing them to identify threats and testing their cyber resilience with a programme of so-called “ethical hacking”.

Banks are throwing vast resources at the problem. By the end of this year, JPMorgan expects to be spending $250m a year on cyber security and to have trained or hired about 1,000 specialist staff to work in the area.

However, cyber security experts say banks still need to do more, particularly in pooling data and co-operating on fraud and cyber threat detection. Some industry bodies do share data on fraud and cyber attacks but it has limitations. Some US banks worry that sharing data breaches privacy rules. UK banks only submit cases to the fraud database when there is enough information to prosecute.

Other industries go further. British insurers share all motor insurance claims data to detect patterns of fraud and report them. Banks are already setting up pooled utilities to share resources on “know your customer” records.

Cyber crime is arguably an even more important area where there is little advantage from being a leader in the field but there is a great deal to be lost if things go wrong.

Facing millions of attacks every year, banks are engaged in what cyber security experts describe as “an arms race”. They would stand a better chance of avoiding the fate of JPMorgan, or worse, if they pooled their resources and worked together.

Copyright &copy “The Financial Times Limited“.
“FT” and “Financial Times” are trade marks of “The Financial Times Limited”.
Translation for Finanzas para Mortales with the authorization of “Financial Times”.
Copyright &copy “The Financial Times Limited“.
“FT” and “Financial Times” are trade marks of “The Financial Times Limited”.
¿Te ha resultado interesante? ¡Compártelo!