Alerta de seguridad alarmante de PayPal: este nuevo truco estúpidamente simple lo pone en riesgo; así es como funciona

Alerta de seguridad alarmante de PayPal: este nuevo truco estúpidamente simple lo pone en riesgo; así es como funciona
Category: Cuentas Bancarias
Author:
13 enero, 2021

SOPA Images / LightRocket a través de Getty Images

Aquí vamos de nuevo: otro informe de PayPal de los investigadores de seguridad, que advierte de un riesgo para los usuarios de los ladrones. Según los informes, esta última estafa ha cobrado miles de víctimas y millones de dólares. Por más conocedor de la tecnología que seas, el retorcido giro de ingeniería social de esta estafa tiene el potencial de engañar a los mejores de nosotros. Siga el consejo a continuación, proteja sus cuentas y no sea el próximo.

El tema ha sido sacado a la luz por los siempre diligentes investigadores de CyberNews. El equipo dice que quiere exponer problemas de seguridad que ponen en riesgo a un gran número de usuarios. Hace unas semanas, informé sobre su última investigación de PayPal, un “truco de inicio de sesión crítico”, en el que un atacante pudo vencer algunas de las protecciones de la plataforma. Entre entonces y ahora, CyberNews expuso la filtración de datos de citas en línea de EE. UU., Lo que puso “a millones de mujeres en riesgo”. Y ahora están de vuelta con otro problema de PayPal, uno que los usuarios deben conocer para asegurarse de no ser víctimas.

CyberNews dice que la mayoría de los estafadores detrás de esta estafa son de EE. UU., Reino Unido o Rusia, y que para la mayoría de ellos esta estafa es ahora su principal fuente de ingresos. ¿Y por qué no sería así? Los investigadores dicen que un atacante típico puede ganar $ 2,500 por día y operar en paquetes que pueden generar hasta $ 1,5 millones por mes. En este momento, el Reino Unido parece ser un semillero de ataques, dado el uso de PayPal, pero esto no tiene límites geográficos. La estafa puede funcionar en cualquier lugar.

iOS 14: he aquí por qué hay un punto naranja en su iPhone

Microsoft sufrió una interrupción mundial de Outlook hoy: esto es lo que sabemos

¿Qué causó el apagón masivo de Microsoft Teams y Office 365 el lunes? Esto es lo que sabemos

Entonces, ¿cómo funciona esta estafa? Bueno, se basa en el mismo riesgo de ingeniería social sobre el que informé sobre el riesgo de apropiación de una cuenta de WhatsApp en enero. Ese truco estúpidamente simple implicó engañar a los usuarios para que renunciaran a los códigos únicos que envía WhatsApp cuando transfiere su cuenta a un nuevo teléfono. La cuenta comprometida se usaría para enviar mensajes a los contactos de WhatsApp y solicitar dinero.

La diferencia esta vez es que es Facebook en sí, no WhatsApp propiedad de Facebook. El problema con el hackeo de WhatsApp era que un atacante solo veía contactos que eran parte de los mismos grupos que la víctima. Con Facebook, se puede ver un conjunto completo de contactos, lo que lo hace mucho más potente. Más allá de eso, el truco es el mismo y cualquier plataforma de mensajería comprometida puede usarse para alimentar la estafa.

Con la cuenta de Facebook pirateada, un atacante usa Messenger para comunicarse con varios amigos y les dice a cada uno de ellos que se les debe dinero pero que no pueden acceder a su propia cuenta de PayPal para recibirlo. Entonces, ¿pueden enviar el dinero a la cuenta de PayPal de este amigo y luego el amigo puede transferirlo por transferencia bancaria? Puede ver el tono de un atacante típico en la captura de pantalla a continuación.

CyberNews ha proporcionado esta explicación sobre cómo funciona la estafa y una imagen (a continuación) que muestra el proceso en acción.

  1. Uno de los amigos de la víctima tiene su cuenta de Facebook pirateada, utilizando datos de inicio de sesión robados adquiridos de la web oscura. Estas credenciales se adquieren fácilmente dado el gran volumen de datos violados en línea.
  2. El atacante envía a la víctima un mensaje desde esa cuenta pirateada, será algo como: “Acabo de vender algo en línea y necesito que me paguen, pero algo anda mal con mi PayPal. ¿Me puede ayudar? Te enviarán el dinero en PayPal y luego podrás enviarlo a mi cuenta bancaria “.
  3. La víctima dice que está bien y proporciona sus datos de PayPal. Poco tiempo después, el dinero aparece en la cuenta de la víctima. La víctima revisa su estado de cuenta de PayPal y puede ver que el dinero está allí.
  4. El dinero ha sido enviado por el atacante, ya sea desde una cuenta o configuración de tarjeta con detalles fraudulentos o mediante una cuenta de PayPal pirateada.
  5. Con el dinero recibido, la víctima envía esa misma cantidad a su “amigo”, utilizando los datos de la cuenta bancaria proporcionados. En realidad, esta es la cuenta bancaria del atacante, que se utilizará para algunas estafas y luego se cerrará.
  6. La víctima piensa que todo está bien. Pero la próxima vez que revisen su cuenta de Paypal, encontrarán que la cantidad recibida se ha revertido. Se trata de una devolución de cargo, en la que el remitente del dinero (el atacante) ha solicitado que se invierta mediante los sistemas estándar de PayPal.
  7. La víctima no puede hacer lo mismo con su transferencia a la cuenta del atacante, no existe tal red de seguridad con una transferencia bancaria.
  8. El dinero realiza una serie de saltos electrónicos adicionales (para evitar el rastreo hasta el punto final) antes de que se retire. No volverá.

La estafa puede involucrar a tres víctimas o solo a dos. El propietario de la cuenta de mensajería del hacker es la primera víctima. El propietario de la cuenta de PayPal que realiza el pago, la única víctima que pierde económicamente es la segunda víctima. Y a veces hay una cuenta de Paypal pirateada por el atacante que solía hacer y luego revertir el cargo; si el atacante no revierte el cargo, el propietario legítimo lo hará; cuando se utiliza en lugar de una tarjeta fraudulenta, esta es la tercera víctima.

Hay algunos detalles técnicos adicionales detrás del hack, incluida la forma en que se omiten los controles de seguridad en las cuentas de Facebook y PayPal. En cualquier caso, el uso de la autenticación multifactor (MFA) adecuada para proporcionar una copia de seguridad del código de acceso de una sola vez a su nombre de usuario y contraseña detendrá un ataque en seco. La configuración de MFA de Facebook se puede ver en la imagen a continuación, y hay una configuración similar para PayPal. Francamente, debería tener esto habilitado en cualquier lugar donde sea una opción.

Más allá de eso, se trata de sentido común. Si un amigo te envía un mensaje de esta manera, llámalo para asegurarte de que realmente sea él. A menos que esté 100% seguro, no continúe. Y asegúrese de contactarlos a través de una plataforma de mensajería diferente a la que lo contactaron. Mejor aún, llama al amigo por teléfono.

Desde la perspectiva de PayPal, el mecanismo de devolución de cargo depende de las políticas y los procedimientos de la compañía de la tarjeta de crédito cuando una transacción se disputa y se revierte; como tal, no aceptan que se esté abusando de ella. El gigante de los pagos también cuestiona la suposición de que las devoluciones de cargo se aceptan de forma predeterminada.

PayPal dijo a CyberNews que “nunca perdemos de vista el hecho de que se nos confía cuidar el dinero de las personas. Nos tomamos esta responsabilidad muy en serio y utilizamos herramientas avanzadas de gestión de riesgos y fraude para mantener seguros a nuestros clientes y sus pagos. Hacemos todo lo posible para proteger a nuestros clientes “, dijo el gigante de los pagos,” pero todavía hay algunas precauciones básicas que debemos tomar para evitar estafas “.

PayPal advierte a los clientes “que tengan cuidado si reciben solicitudes inusuales sobre su cuenta de PayPal, especialmente solicitudes para mover grandes cantidades de dinero, incluso cuando la solicitud parece provenir de alguien que conocen. Siempre cuestione los enfoques no invitados en caso de que se trate de una estafa y consulte directamente con la persona en cuestión para verificar la solicitud. Y nunca acepte ni mueva dinero en nombre de otra persona “.