Para entender cómo combatir el fraude, a veces tenemos que pensar como los estafadores. Con ese fin, hemos comprado previamente tickets para viajar en la dark web. Hoy, vamos a pedir un préstamo con identidad falsa.
Aviso importante: Este artículo no es una guía, y no aprobamos la actividad ilegal. Nuestra plataforma está diseñada para combatir el fraude, es por eso que a veces tenemos que ponernos en sus zapatos para entender cómo trabajan.
Empieza utilizando la dark web
Como con muchas otras actividades ilegales en línea, todo empieza con la dark web. Esta es la colección de sitios en internet que están encriptados, no indexados por motores de búsqueda, y requieren herramientas y software específicos para acceder.
El principal atractivo de la dark web es que provee anonimidad. Utilizando un explorador TOR, puedes visitar direcciones especiales .onion que son accedidas solamente a través de su protocolo de servicios ocultos. Como alternativa, los estafadores pueden utilizar I2P, que hace uso de una estructura de enrutamiento similar a la de los pares.
Es donde encontrarás el mercado más ilegal. Sin embargo, hay que aclarar que algunos mercados regularmente aparecen en la red común, lo que significa que puedes acceder a ellos con un explorador estándar (Chrome, Safari, FireFox, etc…)
¿Por qué apuntar a compañías de préstamo en la dark web?
Ya hemos escrito un artículo completo sobre por qué los estafadores aman el día de pago y compañías de préstamo inmediato. Pero acorde a la descripción de la guía de los estafadores, así es como ellos lo ven en sus propias palabras:
“Las compañías de pago y de préstamos son generalmente de poca seguridad ya que ellos cargan tasas de interés altas y quieren procesar tantos préstamos como les sea posible. También debido a su naturaleza son rápidas para pagar. Esto las convierte en objetivos ideales para el fraude de préstamos, ¡y nuestra guía te mostrará cómo hacer dinero fácil! No solo está limitado a préstamos del día de pago, esta guía también trabaja fácilmente con otras compañías de préstamos.”
Paso a paso para pedir un préstamo con identidad falsa
Aunque en realidad no pasamos por el proceso ilegal nosotros mismos, reunimos suficientes pruebas para demostrar que el fraude en los préstamos es generalizado Así de fácil pudimos encontrar todo lo que necesitábamos:
Paso 1: Comprende e instala un explorador TOR
Después de instalar el explorador TOR, no tuvimos problema en acceder a algunos poco conocidos mercados en la dark web. Solo buscando los productos disponibles se reveló que abundan las guías para principiantes.
Un ejemplo de una guía de fraude para principiantes
Paso 2: Compra “Fullz”
Los estafadores han monetizado el término fullz, refiriéndose a un combo completo de detalles personales de ID. Estos usualmente incluyen un nombre, apellido, documentos de identificación y opcionalmente, un número de tarjeta de crédito.
2 ejemplos de fullz disponibles
Paso 3: Compra información de Crédito
Por supuesto, las compañías de préstamo intentan protegerse a ellas mismas de las estafas implementado sistemas de puntajes de crédito. Desafortunadamente, los estafadores tienen una manera de evitarlo. Ellos simplemente compran información e historial de crédito con puntajes altos de crédito preexistentes para sus aplicaciones, que pagan con una tarjeta de crédito robada para evitar gastos innecesarios.
Paso 4: Oculta y Valida tu IP
Otra manera común de marcar a los estafadores es bloquear direcciones sospechosas de IP. Una vez más, esto se engaña fácilmente simplemente comprando una dirección IP validada, como es mostrado aquí con el screenshot de Socks5. Permite a cualquiera comprar desde cientas de direcciones IP basadas en el Reino Unido.
Paso 5: Compra una cuenta de banco
Las empresas de préstamos pagarán directamente en una cuenta bancaria. Los estafadores pueden simplemente comprar una en un mercado ilegal. A veces les proporcionará una tarjeta de crédito o débito junto con el número IBAN requerido:
Paso 6: Obtén un número de teléfono verificado
Hoy en día, la mayoría de las compañías en línea implementa la autenticación 2FA (autenticación de dos factores), que requiere un número de teléfono. Los estafadores pueden fácilmente descargar aplicaciones de las tiendas de aplicaciones para generar números en un teléfono “quemado”, diseñado para no dejar rastro.
Utilizando una app para acceder a un nuevo número telefónico.
Paso 7: Valida una ID personal con Photoshop
A estas alturas, los estafadores ya encontraron todo lo que necesitan. Pero las compañías de préstamos, a veces requieren documentos para verificación extra donde al menos se compruebe información básica. Ya que es muy poco probable que los estafadores tengan ya el papeleo necesario que necesitan, simplemente pueden utilizar servicios en línea que edite las fotos del papeleo necesario por ellos.
Captura de pantalla del sitio web de SecondEye, que ofrece documentos con Photoshop para la verificación de la identidad.
Paso 8: Retira a través de una plataforma de intercambio de criptomonedas
Finalmente, los estafadores deberán transferir el préstamo al banco. Retirar el efectivo del banco es realmente fácil en estos días. Esto usualmente significa enviarlo a una casa de cambio de criptomonedas, donde pueden comprar bitcoin u otras criptomonedas, que pueden ser utilizadas para seguir comprando bienes o más herramientas de fraude.
¿Cómo evitar que tu negocio sufra un fraude de préstamo?
En cada paso de nuestra investigación, estuvimos sorprendidos al ver de qué tan fácil sería defraudar a las compañías de préstamos. No es de extrañar que sea una de las verticales más apuntadas por los estafadores.
Pero si estás en la industria, no te desesperes. Utilizando una combinación de herramientas y procesos, deberías tener suficientes puntos de datos para crear información más precisa de quienes son tus prestatarios:
- Mientras algunos puntos son falsificables, es sumamente difícil falsificarlos todos todo el tiempo. Al comprobar conexiones entre los puntos de datos, un sistema bien integrado puede encontrar alertas que de otra manera serían invisibles. Esto puede surgir de la huella digital del dispositivo, escaneo de IP o incluso del correo electrónico del usuario.
- Una precaución fuerte también es maximizar lo que se pueda en la etapa de puntaje de crédito. Utilizando la combinación correcta de herramientas, es posible mejorar la tasa de detección de fraude sin sacrificar la experiencia del cliente.
- Enriquecimiento de datos: si bien es particularmente eficiente en la etapa del puntaje de crédito, también es posible tomar una acción rápida en enriquecimiento de datos para revisión manual con una herramienta como la herramienta Intelligence de SEON.
- Mantenerse al tanto de las tendencias y hacer tu propia investigación puede ser de gran ayuda para entender los patrones de ataque y prevenirlos.
Finalmente, en SEON, nos esforzamos continuamente para educar a los gerentes de fraude y líderes de organizaciones con las mejores prácticas para combatir el fraude.