Así como los tiburones se sienten atraídos por la sangre o las abejas por el polen, los defraudadores se sienten atraídos por las oportunidades de ganar dinero. Se necesita mucho esfuerzo, mucha tecnología y tiempo para robar cuentas (ATO), por lo que los defraudadores ven cada vez más oportunidades y se enfocan en fraudes que comienzan con estafas de ingeniería social o los famosos fraudes de phishing. Estos defraudadores utilizan la ingenuidad, la desatención y el contenido emocional para dar estafas y así obligar a los clientes legítimos a hacer su trabajo sucio en el proceso, es decir, hacer que sea el propio usuario el que dé la información y el acceso a los defraudadores.

Todo el mundo sabe que el fraude de ingeniería social es un término amplio que se refiere a las estafas que explotan la confianza de una víctima para engañarla y proporcionarle información confidencial que el defraudador utiliza para cometer fraude o convencer a la víctima de que entregue dinero con falsos pretextos, el famoso phishing.

¿Por qué el término “phishing”? Sencillo, porque el defraudador no elige a la víctima, le tira el anzuelo a la mayor cantidad de gente posible y espera a ver quién cae en la estafa.

Primero, el defraudador envía un Smishing, que es un SMS de phishing a una base de usuarios o un enlace a Whatsapp desde varios números. Y espera a ver quién hace clic. Con las víctimas enganchadas, los defraudadores comienzan a prepararse.

Luego, los defraudadores estudian los patrones de sus objetivos y los perfiles de las redes sociales, como sus trabajos, dónde compran u otros detalles personales. Con cierta información recopilada, lista, el defraudador que finge ser un actor legítimo comienza a recopilar información confidencial, como datos personales, cuentas bancarias, números de tarjetas de crédito y/o contraseñas.

Armados con esta información, los defraudadores llegan a las víctimas utilizando una variedad de tácticas (incluidos correos electrónicos, mensajes de texto o redes sociales) y diseñan una narrativa convincente que la víctima está más inclinada a creer. En otras palabras, diseñarán un fraude basado en el perfil social de la víctima.

 

¿Qué puede suceder después de recopilar la información?
Por ejemplo, pueden cometer fraude de pago automático autorizado (APP) al convencer a su víctima de que tiene un saldo pendiente en un servicio público que debe pagar de inmediato. También, que el usuario tenga una cuenta inactiva en un banco que le está generando pendientes financieras y multas, otra situación es que hay un impuesto atrasado que debe pagarse de inmediato.

Una vez que reciben el dinero de la víctima, los defraudadores desaparecen.

También hay casos de defraudadores que utilizan correos electrónicos que aparentan ser una autoridad, o el jefe, o incluso del IRS, ayuntamientos y bancos para convencer a un empleado de una empresa para facilitar el acceso a otros empleados y/o convencer a la víctima de que el correo electrónico es realmente de una institución acreditada.

Los defraudadores a menudo llevan a cabo fraudes convincentes al estudiar el estilo de vida de sus objetivos. Y son persistentes. Si el intento inicial de un defraudador de engañar a una víctima no funciona, lo modificarán una y otra vez hasta que encuentren una estrategia que valga la pena. Y o una víctima desatenta.

 

¿Qué alimenta el phishing?
Hay dos factores clave que impulsan a los defraudadores hacia el phishing

El primero es el acceso al dinero.
El segundo es el acceso a los clientes.

En el primer punto, los defraudadores saben cómo seguir el dinero. A medida que la pandemia comenzó a desarrollarse, los gobiernos de todo el mundo emitieron préstamos de emergencia para ayudar a las empresas en dificultades a mantenerse a flote. Muchos defraudadores han centrado sus esfuerzos en estos esfuerzos de ayuda del gobierno. Ahora que estos programas se están estabilizando, los defraudadores están recurriendo al phishing por SMS, al Simishing, al Phishing falso de Whatsapp clonado o a los recibos bancarios falsos tomados de Instagram.

A los defraudadores les resulta más fácil y rentable obligar a los consumidores a facilitar transacciones en su nombre que invertir en el robo de cuentas (ATO), que exige mucha más tecnología. En Phishing, si tiene éxito, algunos bancos pueden ser reacios a cuantificar como un evento fraudulento, ya que el cliente ha aprobado la transacción.

 

¿Por qué es difícil medir el phishing?
El problema del phishing es que es muy difícil de medir. El panorama de la banca digital permite que los defraudadores fallen rápidamente y sigan adelante con sus reintentos, de una manera completamente desconocida.

Esto significa que los defraudadores pueden escalar fácilmente sus estafas, lanzando 1000 intentos de phishing incluso antes de desayunar. Incluso si se evita el 80% de los ataques, eso significa que tuvieron éxito 200 veces, obteniendo ganancias con el mínimo esfuerzo.

Mientras tanto, la mayoría de los intentos fallidos de phishing no se denuncian. E incluso si lo son, los defraudadores saben cómo borrar sus huellas. Nuestra legislación no va por los mismos pasos que los defraudadores, por lo que, aun denunciados, difícilmente son investigados y encontrados o sancionados.

Esto fomenta aún más la práctica del phishing. Los defraudadores pueden llegar a los clientes por correo electrónico o mensaje de texto, y una gran proporción descartará sus comunicaciones y se olvidará de ellas. Hay pocos incentivos para que un cliente informe el episodio de intento, ya que no ha sucedido nada y no sucederá nada. Sin embargo, cada esfuerzo fallido de phishing que no se informa significa que los bancos pierden la oportunidad de evaluar con precisión el problema más amplio.

Los fraudes de phishing exitosas también pueden ser difíciles de medir.

Muchos clientes se sienten avergonzados por creer el truco de un estafador y perder dinero. Como tales, no están dispuestos a admitir que fueron engañados, y mucho menos a denunciar el incidente a su banco, principalmente porque saben que no habrá aplicación de la ley ni investigación o sanción por parte de las agencias encargadas de hacer cumplir la ley.

Algunas víctimas, creyendo que no habrá reembolso por parte de los bancos, se muestran escépticas y no denuncian el incidente.

A medida que los estafadores desarrollan tácticas de ingeniería social conocidas como phishing, los bancos deben ayudar a sus clientes antes, durante y después de que se vean afectados por estas fraudes, ganando así credibilidad, relación y admiración y asegurando así la lealtad de su base de clientes.

Recuerda, tu institución bancaria necesita soluciones inteligentes y ágiles que protejan a tus clientes. La única plataforma que puede proteger tu banco es Feedzai. La única plataforma en la nube completa que previene el fraude y los delitos financieros, actuando durante todo el recorrido del cliente.

Póngase en contacto y descubra cómo Feedzai puede proteger su institución financiera.