La Oficina Federal de Investigaciones (FBI) de EE. UU. ha despabilado que los ciberdelincuentes se están haciendo advenir por instituciones financieras con el objetivo de robar peculio o información confidencial para simplificar esquemas de fraude de apropiación de cuentas (ATO).
La actividad está dirigida a individuos, empresas y organizaciones de diversos tamaños y sectores, dijo la agencia, y agregó que los esquemas fraudulentos han provocado pérdidas por más de 262 millones de dólares desde principios de año. El FBI dijo que ha recibido más de 5.100 quejas.
El fraude ATO generalmente se refiere a ataques que permiten a los actores de amenazas obtener ataque no competente a una institución financiera en confín, un sistema de paga o una cuenta de ahorros para la vigor para desviar datos y fondos para beneficio personal. El ataque a menudo se obtiene acercándose a los objetivos mediante técnicas de ingeniería social, como mensajes de texto, llamadas y correos electrónicos que se aprovechan de los temores de los usuarios, o mediante sitios web falsos.
Estos métodos hacen posible que los atacantes engañen a los usuarios para que proporcionen sus credenciales de inicio de sesión en un sitio de phishing, en algunos casos, instándolos a hacer clic en un enlace para informar supuestas transacciones fraudulentas registradas en sus cuentas.
“Un cibercriminal manipula al propietario de la cuenta para que proporcione sus credenciales de inicio de sesión, incluido el código de autenticación multifactor (MFA) o el código de ataque de un solo uso (OTP), haciéndose advenir por un empleado de una institución financiera, personal de atención al cliente o personal de soporte técnico”, dijo el FBI.
“El ciberdelincuente luego utiliza las credenciales de inicio de sesión para iniciar sesión en el sitio web oficial de la institución financiera e iniciar un restablecimiento de contraseña, obteniendo finalmente el control total de las cuentas”.
Otros casos involucran a actores de amenazas que se hacen advenir por instituciones financieras que se comunican con propietarios de cuentas, afirmando que su información se utilizó para realizar compras fraudulentas, incluidas armas de fuego, y luego los convencen de que proporcionen la información de su cuenta a un segundo ciberdelincuente que se hace advenir por agentes de la ley.
El FBI dijo que el fraude ATO asimismo puede implicar el uso de envenenamiento por optimización de motores de búsqueda (SEO) para engañar a los usuarios que buscan empresas en los motores de búsqueda para que hagan clic en enlaces falsos que redirigen a un sitio similar mediante anuncios maliciosos en los motores de búsqueda.
Independientemente del método utilizado, los ataques tienen un objetivo: tomar el control de las cuentas y transferir rápidamente fondos a otras cuentas bajo su control, y cambiar las contraseñas, bloqueando efectivamente al propietario de la cuenta. Las cuentas a las que se transfiere el peculio están por otra parte vinculadas a carteras de criptomonedas para convertirlas en activos digitales y oscurecer el vestigio del peculio.
Para mantenerse protegidos contra la amenaza, se recomienda a los usuarios que tengan cuidado al compartir información sobre ellos mismos en confín o en las redes sociales, que controlen periódicamente las cuentas para detectar irregularidades financieras, que utilicen contraseñas únicas y complejas, que aseguren la URL de los sitios web bancarios antiguamente de iniciar sesión y que se mantengan atentos a los ataques de phishing o a las personas que llaman sospechosas.
“Al compartir abiertamente información como el nombre de una mascota, las escuelas a las que ha asistido, su aniversario de principio o información sobre los miembros de su grupo, puede darles a los estafadores la información que necesitan para adivinar su contraseña o replicar sus preguntas de seguridad”, dijo el FBI.
“La gran mayoría de las cuentas ATO a las que se hace relato en el anuncio del FBI se producen a través de credenciales comprometidas utilizadas por actores de amenazas íntimamente familiarizados con los procesos internos y flujos de trabajo para el movimiento de peculio internamente de las instituciones financieras”, dijo Jim Routh, director de confianza de Saviynt, en un comunicado.
“Los controles más efectivos para evitar estos ataques son manuales (llamadas telefónicas para demostración) y mensajes SMS para aprobación. La causa principal sigue siendo el uso aceptado de credenciales para cuentas en la estrato a pesar de tener opciones sin contraseña disponibles”.
El crecimiento se produce cuando Darktrace, Flashpoint, Forcepoint, Fortinet y Zimperium han destacado las principales amenazas a la ciberseguridad antiguamente de la temporada navideña, incluidas las estafas del Black Friday, el fraude con códigos QR, el robo de tarjetas de regalo y las campañas de phishing de gran comba que imitan a marcas populares como Amazon y Temu.
Muchas de estas actividades aprovechan herramientas de inteligencia fabricado (IA) para producir correos electrónicos de phishing, sitios web falsos y anuncios en redes sociales enormemente persuasivos, lo que permite que incluso los atacantes poco capacitados realicen ataques que parezcan confiables y aumenten la tasa de éxito de sus campañas.
Fortinet FortiGuard Labs dijo que detectó al menos 750 dominios maliciosos con temas navideños registrados en los últimos tres meses, y muchos de ellos usaban términos secreto como “Navidad”, “Viernes Frito” y “Saldo Flash”. “Durante los últimos tres meses, se recopilaron en mercados clandestinos más de 1,57 millones de cuentas de inicio de sesión vinculadas a los principales sitios de comercio electrónico, disponibles a través de registros de ladrones”, dijo la compañía.
Asimismo se ha descubierto que los atacantes explotan activamente las vulnerabilidades de seguridad en Adobe/Magento, Oracle E-Business Suite, WooCommerce, Bagisto y otras plataformas comunes de comercio electrónico. Algunas de las vulnerabilidades explotadas incluyen CVE-2025-54236, CVE-2025-61882 y CVE-2025-47569.
Según Zimperium zLabs, se ha cuadruplicado el número de sitios de phishing móvil (asimismo conocido como mishing), en el que los atacantes aprovechan marcas confiables para crear necesidad y engañar a los usuarios para que hagan clic, inicien sesión o descarguen actualizaciones maliciosas”.
Es más, Recorded Future ha llamado la atención sobre estafas de importación en las que los actores de amenazas utilizan tiendas de comercio electrónico falsas para robar datos de las víctimas y autorizar pagos fraudulentos por intereses y servicios inexistentes. Describió las estafas como una “importante amenaza de fraude emergente”.
Las operaciones de estafa, según la empresa de ciberseguridad, funcionan en embudos de ataque de varias etapas dirigidos a víctimas específicas utilizando un sistema de distribución de tráfico (TDS) para determinar si se consideran apropiados e iniciar una esclavitud de redireccionamiento para conducirlas a la etapa final, donde se lleva a mango la transacción autorizada por la víctima.
La principal preeminencia de esta estafa es que los pagos son autorizados por las propias víctimas, ofreciendo a los operadores pagos económicos inmediatos. Por el contrario, otros vectores de ataque de fraude requieren una inversión considerable de tiempo y bienes para retirar los datos robados. Asimismo se ha descubierto que algunas estafas de compras utilizan servicios de recuperación de transacciones para intentar dos transacciones fraudulentas secuenciales, monetizando así dos veces la información de la polímero.
“Un sofisticado ecosistema de la web oscura permite a los actores de amenazas establecer rápidamente una nueva infraestructura de compras fraudulentas y amplificar su impacto”, dijo la compañía. “Las actividades promocionales que reflejan el marketing tradicional, incluida una ofrecimiento para traicionar datos de tarjetas robadas en la tienda de tarjetas de la web oscura PP24, están muy extendidas en este underground”.
“Los actores de amenazas financian campañas publicitarias con tarjetas de suscripción robadas para difundir estafas de compras, que a su vez comprometen más datos de tarjetas de suscripción, alimentando un ciclo continuo de fraude.
