SINGAPUR – Los piratas informáticos en el extranjero han logrado hacerse pasar por 75 clientes bancarios aquí para hacer alrededor de $ 500,000 en pagos con tarjetas de crédito falsas.
Esto se hizo mediante un método sofisticado de secuestro de contraseñas de un solo uso (OTP) enviadas a través de mensajes de texto SMS por los bancos.
Los piratas informáticos desviaron las OTP de SMS de los bancos a sistemas de redes móviles en el extranjero, explicaron la Autoridad de Desarrollo de Medios de Infocomm (IMDA), la Autoridad Monetaria de Singapur (MAS) y la Policía de Singapur en una declaración conjunta el miércoles (15 de septiembre).
Dijeron que el método de derivación de SMS “requiere una experiencia altamente sofisticada para comprometer los sistemas de las redes de telecomunicaciones en el extranjero”.
Se realizaron transacciones fraudulentas entre septiembre y diciembre del año pasado.
Los clientes del banco dijeron que no iniciaron transacciones y no recibieron los SMS OTP necesarios para completar las transacciones.
Los funcionarios se aseguraron de que los sistemas bancarios y de telecomunicaciones de Singapur no se vieran comprometidos.
Los clientes afectados que hayan tomado medidas para proteger sus credenciales no tendrán que pagar ninguna de las transacciones falsas como un gesto de buena voluntad de los bancos, “dadas las circunstancias únicas de estos casos”, dijeron los funcionarios. Las identidades de los bancos involucrados no fueron reveladas.
Hasta ahora, la UOB ha dicho que ha “revisado proactivamente” los casos que involucran a sus clientes afectados y trabajará con cada uno de ellos caso por caso para ofrecer exenciones de pago.
Se entiende que los clientes de DBS y OCBC, así como algunos bancos extranjeros, también se vieron afectados. Los bancos informaron a los clientes afectados.
El método utilizado por los ciberdelincuentes en este incidente consistió en obtener los datos de la tarjeta de crédito y los números de teléfono celular de las víctimas.
También piratearon sistemas de telefonía extranjeros y los utilizaron para alterar la información de ubicación de los teléfonos móviles utilizados por las víctimas en Singapur.
Al hacerlo, los piratas informáticos engañaron a las redes de telecomunicaciones de Singapur para que pensaran que los números de Singapur navegaban en el extranjero en las redes de otros países.
Luego, los piratas informáticos utilizaron los detalles de la tarjeta de crédito robada de las víctimas para realizar pagos con tarjeta fraudulentos en línea.
Entonces, cuando los bancos enviaron SMS OTP a las víctimas para verificar las transacciones, los delincuentes pudieron desviar estos mensajes de texto a sistemas de redes móviles en el extranjero.
Las OTP robadas se utilizaron luego para completar pagos con tarjeta fraudulentos. Esto coincide con las víctimas que dicen que no recibieron OTP.
Las redes de telecomunicaciones extranjeras comprometidas fueron identificadas y notificadas, pero las agencias no revelaron quiénes eran ni de dónde eran.
Se están llevando a cabo investigaciones para identificar a los delincuentes y llevarlos ante la justicia. Tampoco está claro de dónde provienen los piratas informáticos.
Eric Nagel, gerente general, Asia Pacífico, empresa de ciberseguridad Cybereason, dijo que las OTP de SMS dependen de tecnología de terceros en un sistema operativo que no es inmune a ataques sofisticados.
Una de esas tecnologías que se puede piratear es la que se utiliza para los servicios de gestión de mensajes de texto.
Estos servicios pueden ser contratados por empresas por $ 16 (S $ 21) en Estados Unidos para redirigir SMS, informó el medio de noticias de negocios Business Today. Por tanto, además de piratearlos, los ciberdelincuentes también pueden contratar estos servicios.
El Sr. Nagel agregó que el descubrimiento de la omisión de SMS OTP aquí no es sorprendente.
A principios de este año, Cybereason descubrió que tres grupos de amenazas chinos, que recientemente atacaron a las empresas de telecomunicaciones en Asean, ya habían llevado a cabo ciberataques en otros países, como Estados Unidos y Reino Unido.
Pero Nagel dijo que los bancos y las empresas de telecomunicaciones están tratando de reducir la dependencia de proveedores externos.
“Esto debería ralentizar este tipo de ataques con el tiempo a medida que recuperan el control (de los sistemas)”, dijo.
Aunque las redes de telecomunicaciones de Singapur no se vieron comprometidas, IMDA les dijo que implementaran salvaguardas adicionales. Incluyen firewalls especializados y protecciones del sistema para monitorear y bloquear desvíos sospechosos de SMS.
IMDA había consultado previamente con la Agencia de Seguridad Cibernética de Singapur (CSA) sobre medidas adicionales de telecomunicaciones.
Cuando se contactó, la CSA dijo que evaluó que los controles existentes eran adecuados para lidiar con los métodos actuales de los piratas informáticos.
“Los ciberdelincuentes están desarrollando constantemente métodos y herramientas nuevos y sofisticados para atacar a sus víctimas”, dijo la agencia. “Las organizaciones y los individuos deben permanecer atentos y tomar medidas para mantener seguros sus activos e información”.
La declaración de las autoridades se produce después de que el gobierno dijera en julio que se llevaría a cabo una revisión antes de fin de año para proporcionar pautas más claras sobre lo que les sucede a los consumidores y los bancos en caso de fraude.
MAS trabajará con instituciones financieras para ajustar el marco existente sobre transacciones de pago fraudulentas, cubriendo las responsabilidades y obligaciones de los bancos y consumidores en tales situaciones.
En ese momento, se informó que la policía había recibido 89 denuncias de transacciones fraudulentas con tarjetas realizadas con SMS OTP, donde las víctimas alegaron no haber realizado la transacción ni recibido la OTP para autorizarla, entre septiembre del año pasado y febrero de este año. .
La cantidad robada en estos casos fue de $ 550,500.
El ministro de Finanzas, Lawrence Wong, que es vicepresidente del MAS, dijo al Parlamento que si bien estos casos representan menos del 0,1 por ciento de los fraudes con tarjetas en línea denunciados, el número de casos ha disminuido desde marzo de 2021, “sin embargo, es preocupante”.
IMDA, MAS y la policía instaron al público a estar alerta y vigilante contra el malware y los intentos de phishing que buscan robar sus datos personales, ya que el incidente involucró el robo de información de tarjetas de crédito.
Por ejemplo, los consumidores deben mantener seguros sus datos bancarios y de tarjetas de crédito y débito en todo momento. Nunca deben revelar estos detalles a nadie, así como sus números de identificación personal, contraseñas y códigos como OTP.
También pueden establecer umbrales bajos para las alertas de transacciones de pago, lo que puede permitir la detección temprana de actividades no autorizadas. Los consumidores deben alertar a sus bancos lo antes posible si hay discrepancias o transacciones no autorizadas.
Deben mantener sus dispositivos actualizados con los últimos parches de seguridad y software antivirus.
Los consumidores solo deben utilizar servicios en línea de confianza, descargar aplicaciones de las tiendas de aplicaciones oficiales y comprar en línea a través de plataformas de confianza.
Los miembros del público tampoco deben hacer clic en enlaces sospechosos de fuentes desconocidas.