Criminales roban tarjetas SIM para transferir dinero de las cuentas bancarias de sus víctimas

Se han descubierto dos nuevos ataques en los que los criminales obtienen acceso físico a las tarjetas SIM de los usuarios para poder burlar los sistemas de autenticación con contraseña de un solo uso (OTP por sus siglas en inglés) que utilizan los bancos para validar las transacciones de dinero de sus clientes.

Los sistemas de autentificación OTP se utilizan principalmente en transacciones de grandes sumas de dinero y consiste en que, para asegurar las cuentas de los usuarios, los bancos envían una contraseña descartable por teléfono a sus clientes. Los usuarios deben escribir esta contraseña para poder realizar la transacción.

Los analistas de Trusteer alertaron sobre las amenazas. En el primer ataque, se utiliza una variante del troyano Gozi para conseguir los datos personales y el número IMEI de los internautas que ingresan a sitios bancarios. El atacante está particularmente interesado en el número IMEI, y hasta explica a su víctima cómo conseguirlo si es que no lo conoce.

En este método de ataque, el criminal denuncia el robo o pérdida del teléfono a la empresa telefónica. Con el número IMEI y los datos personales del titular del teléfono que robó el troyano, solicita que se le entregue una nueva tarjeta SIM, donde recibirán la OTP que envíe el banco para hacer la transacción de dinero.

El segundo ataque es más complejo: los criminales lanzan ataques phishing o “man-in-the-browser” para conseguir los datos personales de sus víctimas, y los utilizan para hacerse pasar por el usuario y presentar una denuncia a la policía diciendo que su teléfono está perdido o robado.

Después se hace pasar por un funcionario de la empresa de telefonía y llama al usuario, diciéndole que se interrumpirán sus comunicaciones dentro de 12 horas por mantenimiento de las líneas. Mientras tanto, con el informe de la policía, el atacante se presenta en las oficinas de la empresa de telefonía y solicita una nueva tarjeta SIM. La empresa bloquea la vieja tarjeta y entrega una nueva al criminal que, cuando la tiene en su poder, puede utilizarla para recibir la OTP del banco y vaciar la cuenta de su víctima.

Estas tácticas son más complejas, pero permiten a los atacantes retirar grandes cantidades de dinero y tener más control sobre los ataques, que ya no tienen que tratar de engañar a sus víctimas para que validen las transacciones fraudulentas.

Fuentes:

Cybercriminals bypass e-banking protections with fraudulent SIM cards Computerworld

Trusteer: SIM Card Fraud Schemes Target Online Banking PC Magazine

New online banking fraud schemes target mobile users Help Net Security