Imagina lo siguiente, infectan tu computadora con un troyano y obtienen el acceso a tu cuenta bancaria, luego transfieren todo el dinero y como es una operación sospechosa desde el banco te llaman para verificarla, sin embargo nunca recibes la llamada porque es desviada hacia un número controlado por los ciberdelincuentes :)
Parece algo que sólo se ve en las películas pero también sucede en la vida real, Trusteer (una empresa de seguridad) ha detectado una variante del troyano bancario Zeus que está realizando esta clase de ataques a usuarios de Estados Unidos y Reino Unido.
Todo comienza con el robo de la cuenta bancaria, luego se le solicita a las víctimas información personal incluyendo los números de teléfono (casa, móvil y trabajo) y el número de cuenta de su compañía telefónica.
Recordemos que en un equipo infectado los atacantes pueden tener el control total y muchas de las cosas que se ven en la pantalla podrían ser falsas. Lo que hacen troyanos como Zeus es inyectar códigos en el navegador para modificar localmente las páginas de los bancos y de esta forma -con ingeniería social- solicitar la información que sea necesaria para realizar el ataque. Para las víctimas es difícil detectarlo porque en realidad están en una página legítima, sin saber que su navegador fue modificado por el malware (ver ejemplo).
Una vez que los atacantes tienen toda la información personal de la víctima, configuran los desvíos de llamadas con la operadora telefónica y de esta forma logran burlar al banco que creerá que “todo está bien” al confirmar las transacciones con el delincuente. Esto les da más tiempo para mantener el control de la cuenta y robar el dinero.
Otros tipos de ataques post-transacción también pueden interceptar los correos electrónicos y ocultar las transacciones fraudulentas, incluyendo el saldo real del Home Banking para que la víctima no sospeche nada (siempre localmente porque su PC está infectada). También hay métodos más agresivos como saturar el teléfono de llamadas entrantes para que desde el banco no puedan comunicarse o realizar un DDoS a la entidad para «camuflar» las operaciones realizadas.
Sin dudas son ataques complejos que no los hace cualquiera, pero existen y también con variantes en español, así que no creas que estás a salvo de algo así. No es por nada que algunos utilicen un Live-CD bajo una conexión segura para acceder a su banca online :)
Ver también:
Troyano bancario que infecta la PC y el móvil de las víctimas.