Estafas por App bancaria

Publicado por GKawa, Septiembre 29, 2020, 03:54:07 PM

Tema anterior - Siguiente tema

GKawa

Estén atentos. Me acabo de enterar de un caso. Todavía no tengo todos los datos y me sorprende que le haya pasado a alguien con experiencia en sistemas. No quiero imaginarme si agarran a alguien sin.

Le vaciaron la cuenta, pudieron sacar una transferencia de alguna manera. Lo que suponemos es que le sacaron el contacto a través de Instagram, donde posteó una consulta quejándose que no podía comunicarse con el banco. Lo llamaron para atenderle el problema y ahí es donde de alguna manera le sacaron los datos para hacer la operación. Yo tengo la sospecha que le sacaron info como para habilitar una app del banco en otro teléfono, ahí ya con eso pudieron hacer la transferencia desde la app, o habilitar el acceso web y sacar un token.
En cuanto tenga más datos les comento.

germany.yeah

Cita de: GKawa en Septiembre 29, 2020, 03:54:07 PM
Estén atentos. Me acabo de enterar de un caso. Todavía no tengo todos los datos y me sorprende que le haya pasado a alguien con experiencia en sistemas. No quiero imaginarme si agarran a alguien sin.

Le vaciaron la cuenta, pudieron sacar una transferencia de alguna manera. Lo que suponemos es que le sacaron el contacto a través de Instagram, donde posteó una consulta quejándose que no podía comunicarse con el banco. Lo llamaron para atenderle el problema y ahí es donde de alguna manera le sacaron los datos para hacer la operación. Yo tengo la sospecha que le sacaron info como para habilitar una app del banco en otro teléfono, ahí ya con eso pudieron hacer la transferencia desde la app, o habilitar el acceso web y sacar un token.
En cuanto tenga más datos les comento.

No es el primero ni el ultimo, algo que sucede actualmente y muchos bancos inclusive mandan emails informando sobre estos casos.
Seguro si encuentra adonde fue la guita es una cuenta prestada, es decir.. alguno que vende el cupo de los usd (ahora ya no tanto, antes era comun) o algun cagado de hambre que le alquila la cuenta a alguien, la famosa triangulacion.

GKawa

Cita de: germany.yeah en Septiembre 29, 2020, 04:39:33 PM
alguno que vende el cupo de los usd (ahora ya no tanto, antes era comun) o algun cagado de hambre que le alquila la cuenta a alguien, la famosa triangulacion.
Yo creo que es así. Agarran planeros con cuenta bancaria y lo usan de front end. Total, si los ponés de cabeza no les sacás un mango. No sé como hacen para mover la guita desde ahí, parece que es algo grande y las posibilidades de hacer todo ese crédito líquido son muy limitadas en estos tiempos.

Pero sí, no es el único. Instagram es el punto de contacto, llaman a los que contactan al banco por ahí. La información del banco es que hay muchos damnificados y hay de todo. Transferencia del saldo total, de cabeza. Compra de dólares a nombre de la víctima y transferencia a otra cuenta parece que hubo algún caso. Y donde daba para hacerlo, pedido de crédito y transferencia. No pudieron determinar como es la mecánica (o no dijeron), ni si esto aplica a la app o le pasó a clientes que no la tienen habilitada. Por lo que me contaron, no le sacaron datos, no le pidieron un token de la app, ni le pidieron el DNI. Es muy extraño porque si no necesitaban esos datos no hay razón para la llamada. La única explicación es que le operaron la app remotamente y de alguna manera la llamada les dió acceso. Nunca me gustó la idea de la app.

germany.yeah

Cita de: GKawa en Septiembre 29, 2020, 04:54:19 PM
Yo creo que es así. Agarran planeros con cuenta bancaria y lo usan de front end. Total, si los ponés de cabeza no les sacás un mango. No sé como hacen para mover la guita desde ahí, parece que es algo grande y las posibilidades de hacer todo ese crédito líquido son muy limitadas en estos tiempos.

Pero sí, no es el único. Instagram es el punto de contacto, llaman a los que contactan al banco por ahí. La información del banco es que hay muchos damnificados y hay de todo. Transferencia del saldo total, de cabeza. Compra de dólares a nombre de la víctima y transferencia a otra cuenta parece que hubo algún caso. Y donde daba para hacerlo, pedido de crédito y transferencia. No pudieron determinar como es la mecánica (o no dijeron), ni si esto aplica a la app o le pasó a clientes que no la tienen habilitada. Por lo que me contaron, no le sacaron datos, no le pidieron un token de la app, ni le pidieron el DNI. Es muy extraño porque si no necesitaban esos datos no hay razón para la llamada. La única explicación es que le operaron la app remotamente y de alguna manera la llamada les dió acceso. Nunca me gustó la idea de la app.
un caso que llegue a descular fue que mandaron la guita a buenbit y transformaron toda la guita en cryptos, esto te estoy hablando de febrero de este año en mi anterior laburo que le cagaron a un gerente 700 lucas de "onda".
Pero si, los muchachos estan a full, en la epoca de los coleros digitales se cansaron de cagar los 200usd a la gente.

germany.yeah

En fb aparecio esto, no se si tendra algo que ver con tu caso, son varios parece que le hicieron la misma.



GKawa

De lo que me contaron, parece exactamente la misma historia. No sé todavía en que termina, la mecánica del fraude es idéntica. La transferencia aparentemente fue a nombre de una persona física y el préstamo lo pudo parar. Pinta para demanda colectiva.

publicweb

para mi no hay NADA mejor que la tarjeta de coordenadas

no necesita bateria para su uso, como es el token del telefono
si se te cae el celular al agua la tarjeta de coordenadas seguira andando, el token/app... no
no es hackeable, como una app o un token (a no ser que vos seas al boludo que informas lo 60 numeros que tiene)
no dependes del wifi ni del paquete de datos para que ande
tampoco depende del SMS
no le quita espacio de memoria a tu telefono
si te roban el telefono, tu tarjeta de coordendas seguira andando (no creo que la lleves en la billetera....)
si manejas 2 o mas cuentas en un banco NECESITAS UN TELEFONO PARA CADA CUENTA, ya que no podes tener 2 usuarios en la misma app/token, con las tarjetas.. si manejas 2 o mas cuentas en un banco, tenes 2 tarjetas de coordenadas... y listo


sin embargo....
la mayoria de los bancos estan sacando las tarjetas de coordenadas
las cambian por apps super seguros y bla bla bla

hasta que pasan estas cosas

en su momento mis 2 padres tenian sendas cuentas en banco frances y yo tenia la mia, tambien en banco frances
como ellos eran muy mayores y no sabian prender una compu yo manejaba las 3 cuentas
cuando cambiaron la tarjeta de coordenadas por app del telefono me volvi loco
de la noche a la mañana necesite 3 telefonos diferentes para poder operar cada cuenta
porque cada linea telefonica queda asociada a un solo usuario

UN REVERENDO DOLOR DE HUEVOS


SAMUEL

Cita de: publicweb en Septiembre 30, 2020, 08:50:57 AM...tenian sendas cuentas en banco frances y yo tenia la mia, tambien en banco frances....

El peor banco privado de la argentina, a la cabeza de los reclamos en Defensa del Consumidor. Son un verdadero desastre, lo manejan más denigrantemente que una empresa estatal. La inoperancia es el lema de esa entidad financiera.

publicweb

una vez...

hace un par de años

me llamaron supuestamente de un banco, del que yo era cliente
diciendome que debian verificar que el numero de telefono que ellos tenian en el sitema (y al que me estaban llamando) era mio
me dijeron que iban a "verificar" mi linea mandandome un sms y que les informara un numero que me llagaria por sms

a los pocos segundos y duarnate la conversacion, me llega un sms con un numero de 6 cifras
de esos que los envia una maquina (enviado por 54875) y decia su clave de confirmacion es XXXXXX

a lo que le pregunto a la educada señorita que me llamaba (del banco supuestamente)
¿para qué querés saber si yo recibo o no un SMS si ya estas hablando conmigo?
¿para que necesitas saber si el telefono es mio con un sms si ya me llamaste? ya sabes que es mio

La amabilidad de la señorita se fue disipando
Hasta que en un momento me tira la "solapada" amenaza de que si mi linea no se confirmaba se me podría bloquear la cuenta y me quedaría congelado todo el dinero hasta que el tema se aclare
a lo que le dije.... imagino que en pantalla te aparecerá mi saldo de 12 pesos que tengo, si querés podes congelarlo tranquila
(mentira.. habia mas de 20 lucas que en ese momento era mucha guita)

Acto seguido la señorita me colgó...

Nunca nada se congeló
nunca nadie me volvió a llamar para "verificar" mi linea telefonica




380

Lo que o entiendo es para que dan tantos datos por telefono, yo no doy ningun dato a nadie. Si necesito algo del banco, saco turno y voy.

Wallysar

Evidentemente hubo varios casos en el ultimo tiempo, de hecho Banco Galicia anunció la semana pasada que cerró todos sus canales de comunicación en redes sociales por el momento.

Por otro lado, mal que pese, con esto de la "nueva normalidad" los bancos ya estan empezando a armar planes para cerrar sucursales y que todo sea remoto por lo que sacar turno para ir a una sucursal va a ser cada vez mas complidado! :sm179:

Saludos, Walter.

GKawa

Cita de: 380 en Septiembre 30, 2020, 09:33:42 AM
Lo que o entiendo es para que dan tantos datos por telefono, yo no doy ningun dato a nadie. Si necesito algo del banco, saco turno y voy.
Parte del problema es que en estos casos que se están dando ahora no te piden datos. Todavía no me termina de cerrar pero esa es la información que estoy viendo. De alguna manera lo hacen, es evidente porque los casos están.

GKawa

Cita de: publicweb en Septiembre 30, 2020, 09:11:45 AM
a los pocos segundos y duarnate la conversacion, me llega un sms con un numero de 6 cifras
de esos que los envia una maquina (enviado por 54875) y decia su clave de confirmacion es XXXXXX
Esto lo he visto mucho. Hace un par de años (y es posible que todavía esté en funcionamiento) los Nigerianos arrancaron con un currito de "préstamos baratos sin requisitos" en toda Sudamérica, por una módica suma para pagar gastos administrativos. Usaban cuentas de WA con números locales, cosa que me pareció muy curiosa. Y el método era ese, instalaban WA, registraban tu número y te llamaban con cualquier excusa. Le confirmás el número y ya tenés una cuenta relacionada. Obviamente apuntan a los que no tienen WA pero si ven que el número ya está tomada, en vez de WA te registran en Telegram o en cualquier otro. A partir de ahí, operaban la "financiera" con número local que es mucho más creíble. Y si te sacaban la imagen del DNI, te convertian en "oficial de cuenta", se lo mandaban a los siguientes para que vieran que estaban tratando con una persona real.

No sé si ese sistema de verificación lo están usando para bancos. Si tenés tu cuenta de Google con el número registrado, te pueden crackear. Calculo que también puede funcionar para Apple, MSN y otros. Mucha gente no considera el mail como algo sagrado para tener protegido. Pero lo cierto es que en el mail tenemos rastros de contactos con el banco y capaz que alguno valida el acceso web por el mail registrado. Ni hablar de una cuenta de mercadopago con tarjeta registrada, Paypal, Amazon, Apple, Google Play, etc. Cualquiera de esos servicios te permiten realizar pagos con cargo directo a la tarjeta registrada y Apple, por ejemplo, tiene las gift card que una vez que se compró, se emitió y se usó, andá a reclamarle a Steve Jobs.

publicweb

Hace aproximadamente 15 años un amigo me contó la siguiente anécdota:

Mi amigo trabajaba como técnico de sistemas en la casa central de un conocidísimo banco de la República Argentina (es un banco privado no estatal). No lo voy a mencionar pero está entre los cinco bancos que se te ocurren cuando te pido que menciones banco de Argentina.

Mi amigo trabajaba haciendo guardias nocturnas desde las 11 de la noche a las siete de la mañana en la casa central como técnico de sistemas.

Había un ingeniero en sistemas que era el que hacía el mantenimiento de todo el sistema informático. Este ingeniero de sistemas le insistía (demasiado) que si el sistema se colgaba lo llamase por teléfono a la hora que sea que él venía y lo solucionaba.

Y así pasaba, en promedio una vez a la semana el sistema se colgaba, llamaba al ingeniero, y el ingeniero en sistemas rápidamente se presentaba con una infalibilidad propia de Suiza o Alemania.

El ingeniero solucionaba la cosa y todo seguía normalmente.

A mi amigo siempre le llamó la atención con la que el ingeniero se presentaba eficientemente aunque sean las 4:15 de la mañana...

Aproximadamente al año salto la cosa...

El ingeniero hacía robo hormiga, en cientos, tal vez miles de cuentas, robaba algunos pesos o algunos centavos...

En menos de dos años se había comprado una casa para él en capital Federal, otra casa para él en Carlos paz, Córdoba, un auto nuevo, y una casa para el padre...

El banco llegó a un arreglo con el ingeniero el cual se mantuvo en forma confidencial por lo tanto mi amigo no tenía mucha data, pero se decía que el ingeniero había tenido que vender una de las casas y hasta ahí había llegado todo.

El banco jamás hizo acciones legales.

El banco jamás supo con cuánta guita los estafó el ingeniero en sistemas.

El cálculo exacto era virtualmente imposible...

Simplemente se limitaron a echarlo.


El banco entendió que la plata no la recuperaría nunca, que jamás sabría cuál era el importe exacto, y que lo único que iba a suceder si lo hacía público era que iba a perder más imagen para no recuperar nada. O sea que si hacia juicio o denuncia penal o lo que sea al ingeniero de sistemas lo único que iba a pasar era que iba a perder imagen...

El banco jamás va a admitir que por Instagram o por donde sea alguien puede hackear y robar plata.

Eso sería admitir que el sistema de ellos es vulnerable. Eso sería una pérdida potencial de clientes importante


La única forma de que esto se haga realmente público es que uno presente absolutamente todas las pruebas de cómo se hizo la estafa... Y obviamente un particular jamás va a poder hacer eso.

La gente del banco seguramente sabe que su aplicación o lo que sea tiene un agujero de seguridad; posiblemente están trabajando ya en eso... Pero jamás lo van a admitir.

GKawa

Cita de: publicweb en Septiembre 30, 2020, 01:21:08 PM
El ingeniero hacía robo hormiga, en cientos, tal vez miles de cuentas, robaba algunos pesos o algunos centavos...
Superman III!!

GKawa

Ahí tuve un poco más de info del tema. Es exactamente el mismo método del que posteó Germany, arranca con el contacto por Instagram. Por lo que contaron, fue en privado, lo que lo hace más complicado, ese contacto no debería poder accederse en público. Pero es tan rápido, parte del truco, que de alguna manera lo están interceptando. La otra es que de alguna manera sacan el teléfono de la cuenta de Instagram. Acá hay algo de debate, algunos piensan que es posible sacar el número googleando el dato. Yo creo que tiene que salir de Instagram porque nadie es tan rápido y no todos nuestros números están publicados y aún los que están publicados no están en un solo sitio. El dato que me faltaba es que les mandan un token por SMS, que no les piden, solo les mencionan que les va a llegar como verificación.

Me mata la llamada, no le encuentro explicación. La única es que quieren mantener al usuario ocupado y bloqueado para que no pueda reaccionar. Deben tener acceso al Instagram del banco y al server que envía los SMS. Esos servers están corriendo en Windows 98 con cero seguridad, es una locura que los usen para enviar tokens. Tampoco termino de entender desde donde operan. Para habilitar la app en otro teléfono hace falta ir a un cajero, para habilitar el acceso web también. Desde dónde se opera que te manda un token de seguridad por SMS? Nunca hice algo así.

Alguien con Instagram? es como WA? si estás conectado con alguien podés ver el número de celular?

murdock

El token x sms es parte de la ingeniería social. Para q te sientas mas confiado, ni te lo pido te mando un sms con un código raro y bajas la guardia.


Enviado desde mi iPhone utilizando Tapatalk

GKawa

Cita de: murdock en Septiembre 30, 2020, 03:19:42 PM
El token x sms es parte de la ingeniería social. Para q te sientas mas confiado, ni te lo pido te mando un sms con un código raro y bajas la guardia.
No, les llegó del número del banco, el mismo desde donde reciben otras notificaciones.

murdock

Cita de: GKawa en Septiembre 30, 2020, 05:16:03 PM
No, les llegó del número del banco, el mismo desde donde reciben otras notificaciones.
Es q esos numeros son medios genericos de servicios q brindan sms gateway.


Enviado desde mi iPhone utilizando Tapatalk

GKawa

Cita de: murdock en Septiembre 30, 2020, 05:44:04 PM
Es q esos numeros son medios genericos de servicios q brindan sms gateway.
Ese es el tema. Mi sospecha es que en ese punto están interceptando el SMS del banco. Pero es el banco el que lo envía.

Armandvs

Lo del robo hormiga era genial...robaba centavos y los demoraba para no hacer miles de transferencias infimas....y cuando llegaba a cierto monto X ahi lo ejecutaba.
el Siglo XX tenia cosas muy divertidas.


murdock

Cita de: GKawa en Septiembre 30, 2020, 05:52:01 PM
Ese es el tema. Mi sospecha es que en ese punto están interceptando el SMS del banco. Pero es el banco el que lo envía.

Podría ser, serían muy avanzados. Generalmente son más básicos.

Pero habrían clonado el celu previamente entonces, o sincronizado por su cuenta de icloud donde los mensajes llegan a todas las cuentas. Todo puede ser

murdock

Ahí estuve investigando un poco más, están usando exploits de las SS7 para afanarse los SMS de validación. No son tan boludos entonces, guarda.

GKawa

Cita de: murdock en Septiembre 30, 2020, 06:52:14 PM
Ahí estuve investigando un poco más, están usando exploits de las SS7 para afanarse los SMS de validación. No son tan boludos entonces, guarda.
Es buena esa. No sabía que SS7 estaba vigente todavía pero si seguimos teniendo SMS, a menos que lo hayan reestructurado completamente, estamos usando SS7.

Hoy estuve viendo Instagram y daría la impresión que es relativamente fácil tomar el control de una cuenta y tener la app duplicada. De ahí, ya puedo tener cualquier contacto y el número de teléfono si lo tiene público. Cosa que debe ser común. Ahora, con eso casi cierro todo, saco el nombre de Instagram y el número de teléfono, el DNI lo consigo en cualquier lado, te llamo, me instalo la app del banco, pido el token por SMS, con SS7 lo intercepto (aunque no tengo claro si puedo hacer el snoop o lo intercepto, o sea que no lo recibís que no fue lo que pasó en estos casos porque las víctimas sí lo recibieron). Hasta acá todo bien. Pero resulta que el banco no usa two-steps con SMS para la app... o al menos no lo dan como opción en sus instructivos. Lo tendrán en el sistema funcionando y nadie se avivó? En España lo tenían, aparentemente no más. En México y Colombia lo siguen usando.