Con tantos usuarios dando el salto a la banca por Internet, no es de extrañar que los hackers estén buscando obtener tus datos de de inicio de sesión. Sin embargo, lo que puedes sorprender cuantos hackers ya tienen acceso a tus datos financieros.
Aquí hay un vistazo a cómo los hackers apuntan a tú cuenta bancaria y cómo mantenerte a salvo.
1. Troyanos de banca móvil
En estos días, puedes administrar todas tus finanzas desde tu teléfono inteligente. Por lo general, un banco proporcionará una aplicación oficial desde la cual puedes iniciar sesión y verificar tu cuenta. Si bien es conveniente, este se ha convertido en el principal vector de ataque para los autores de malware.
Aplicaciones falsas
El medio de ataque más directo es falsificar una aplicación bancaria existente. Un autor de malware crea una réplica perfecta de la aplicación de un banco y la sube a sitios turbios de terceros. Una vez que hayas descargado la aplicación del atacante, ingresas tu nombre de usuario y contraseña, y el hacker ahora tiene tus datos.
Secuestro de aplicaciones
La versión más astuta de esto es el troyano de banca móvil. Veras una aplicación que no es la aplicación oficial de tu banco; Por lo general, son una aplicación completamente separada con un troyano instalado dentro, como puede ser un juego. Cuando instalas esta aplicación, el troyano comienza a escanear tu teléfono en busca de aplicaciones bancarias.
Cuando detecta una aplicación bancaria, el troyano se iniciará, el malware pone rápidamente una ventana que se ve idéntica a la aplicación que acabas de iniciar. Si esto sucede sin problemas, no notaras el intercambio e ingresaras tus datos en la página de inicio de sesión falsa. Tus datos ahora están en manos del hacker.
Por lo general, estos troyanos también necesitan un código de verificación de SMS para completar el hackeo. Para hacer esto, a menudo te pedirán privilegios de lectura de SMS durante la instalación, para que puedan robarte el SMS que te llega de tu banco.
Cómo defenderte
Cuando descargues aplicaciones de la tienda de aplicaciones, ten en cuenta la cantidad de descargas que tiene. Si tiene una escasa cantidad de descargas y pocas o ninguna revisión, es demasiado pronto para saber si tiene malware o no.
Los bancos mejor calificados generalmente tienen una gran cantidad de descargas; Pequeño recuento de descargas: ¡es probable que sea un impostor!
Del mismo modo, ten cuidado con los permisos que otorgas a las aplicaciones. Si un juego móvil te pide permisos de lectura de SMS sin ninguna explicación de por qué los quiere, mantente seguro y no permitas que la aplicación se instales. Solo instala aplicaciones de la AppStore o la Play Store, las instalaciones de otros sitios es más probable que contengan malware.
2. Phishing
A medida que todos nos familiarizamos con las tácticas de phishing, los hackers han intensificado sus esfuerzos para engañar a las personas para que hagan clic en sus enlaces. Uno de sus trucos más desagradables es hackear las cuentas de correo electrónico de los abogados y enviar correos electrónicos de phishing desde una dirección previamente confiable.
Lo que hace que este truco sea tan devastador es lo difícil que sería detectar la estafa. La dirección de correo electrónico sería legítima, y el hacker incluso podría hablar con tu por tu nombre.
Cómo defenderte
Por supuesto, si una dirección de correo electrónico parece sospechosa, trata tu contenido con una buena dosis de escepticismo. Si la dirección parece legítima pero algo “parece estar mal”, intente validar el correo electrónico con la persona que lo envía (preferiblemente no por correo electrónico), en caso de que los hackers hayan comprometido la cuenta.
Los hackers también pueden usar el phishing, entre otros métodos, para robar tu identidad en las redes sociales, revisa que información es publica en tus redes sociales y minimizala.
3. Keyloggers
Este método de ataque es una de las formas más silenciosas en que un hacker puede obtener acceso a tu cuenta bancaria. Los keyloggers son un tipo de malware que registra lo que está escribiendo y envía la información al hacker.
Al principio, eso puede parecer poco importante (lo escucho seguido de amigos y familiares), pero imagina lo que sucedería si ingresas a tu banco, seguido de tu nombre de usuario y contraseña. ¡El hacker tendría toda la información que necesita para ingresar a tu cuenta!
Cómo defenderte
Instala un buen antivirus y asegúrese de que verifique tu sistema de vez en cuando. Un buen antivirus detectará un keylogger y lo borrará antes de que pueda robarte información.
Si tu banco admite la autenticación de dos factores (es su obligación), asegúrate de habilitarlo, igual que en tus redes sociales y mensajeros.
Al habilitar el 2FA, cualquier keylogger no será tan robusto como le gustaría al hacker. El atacante no podrá replicar el código de autenticación incluso si obtiene tus datos de inicio de sesión.
4. Ataques de Man-In-the-Middle (hombre en el medio)
A veces, un hacker se centrará en las comunicaciones entre tu y el sitio web de tu banco para obtener tus datos. Estos ataques se llaman ataques Man-in-the-Middle (MITM), y el nombre lo dice todo; es cuando un hacker intercepta las comunicaciones entre tu y el servicio correcto.
Por lo general, un ataque MITM implica monitorear un sitio inseguro y analizar los datos que pasan. Cuando envías tus datos de inicio de sesión a través de esta red, los hackers “detectan” tus datos y los roban.
Sin embargo, a veces, un hacker utilizará el envenenamiento de tu DNS para cambiar el sitio que visita cuando ingresa una URL. Un DNS envenenado significa que www.tusitiodelbanco.com irá a un sitio de clonación propiedad del hacker. Este sitio clonado se verá idéntico al real; si no tienes cuidado, terminarás dando al sitio falso tus datos de inicio de sesión.
Cómo defenderte
Nunca realice actividades delicadas en una red pública o no segura. Se precavido y usa algo más seguro, como el Wi-Fi de tu hogar y una VPN. Además, cuando inicies sesión en un sitio sensible, siempre verifica que sea un sitio con HTTPS en la barra de direcciones. Si no está allí, ¡hay una buena posibilidad de que estés mirando un sitio web falso!
Si desea realizar actividades delicadas a través de una red Wi-Fi pública, ¿por qué no tomar el control de tu privacidad? Un servicio VPN encripta tus datos antes de que tu computadora los envíe a través de la web. Si alguien está monitoreando tu conexión, solo verá paquetes cifrados ilegibles.
5. Intercambio de SIM
Los códigos de autenticación de SMS son algunos de los mayores problemas para los hackers. Desafortunadamente para nosotros (Afortunadamente para ellos), tienen una manera de esquivar estos controles, ¡y ni siquiera necesitan tu teléfono para hacerlo!
Para realizar un intercambio de SIM, un hacker se pone en contacto con tu proveedor celular y afirma ser tu. Afirma que perdieo su teléfono y que les gustaría transferir su número anterior (que es tu número actual) a su tarjeta SIM.
Si tienen éxito, los proveedores de la red quitan tu número de teléfono de tu SIM y lo instalan en el teléfono del hacker. El intercambio de SIM se puedes lograr con una INE o identifación oficial, la verificación 2FA y SMS no es 100% segura.
Una vez que tienen tu número en tu tarjeta SIM, pueden obtener y validar los códigos SMS fácilmente. Cuando inician sesión en tu cuenta bancaria, el banco envía un código de verificación por SMS a su teléfono en lugar de al suyo. Luego pueden iniciar sesión en tu cuenta sin obstáculos y vaciar tu cuenta.
Cómo defenderte
Por supuesto, las redes móviles suelen hacer preguntas para verificar si la persona que solicita la transferencia es quien dice ser. Como tal, para realizar un intercambio de SIM, los estafadores generalmente recolectan tu información personal para pasar los controles. Incluso entonces, algunos proveedores de red tienen controles laxos para las transferencias de SIM, lo que permitió a los hackers realizar este truco sin problemas.
Siempre manten tus datos privados para evitar que alguien te robe tu identidad. Además, vale la pena verificar si tu proveedor de telefonía móvil está haciendo su parte para defenderte del intercambio de SIM. Si mantiene tus datos seguros y tu proveedor de red es cuidadoso, un hacker fallará la verificación de identificación cuando intente intercambiar SIM.
Manteniendo tus finanzas seguras en línea
La banca por Internet es muy conveniente tanto para nosotros, los usuarios, como para los hackers. Afortunadamente, puedes hacer tu parte para asegurarte de no ser blanco de estos ataques. Al mantener tus datos seguros, le daras a los hackers muy poco para trabajar cuando apunten a tus ahorros.
Escrito por: Juan Carlos Carrillo, Director Cybersecurity @ PwC México | Privacy, Data Protection, Cloud Security