"Phishing-as-a-service" -sarjat lisäävät varkauksia: yhden yrityksen omistajan tarina

Pankit ovat käyttäneet valtavia summia kyberturvallisuuteen ja petosten havaitsemiseen, mutta mitä tapahtuu, kun rikolliset taktiikat ovat riittävän kehittyneitä jopa pankkien työntekijöiden huijaamiseen? 

Cody Mullenauxille se merkitsi yli 120,000 XNUMX dollarin siirtoa Chase-sekkitililtä ilman toivoa saada koskaan takaisin varastettuja varojaan.

Mullenaux'n, 40-vuotiaan kalifornialaisen pienyrityksen omistajan saaga alkoi 19. joulukuuta. Kun hän teki jouluostoksia nuorelle tyttärelleen, hän sai puhelun henkilöltä, joka väitti olevansa Chasen petososastolta ja pyysi vahvistusta. epäilyttävä kauppa.

800-numero vastasi Chasen asiakaspalvelua, joten Mullenaux ei pitänyt sitä epäilyttävänä, kun henkilö pyysi häntä kirjautumaan tililleen suojatun linkin kautta, joka lähetettiin tekstiviestillä tunnistamista varten. Linkki näytti lailliselta ja avattu verkkosivusto näytti olevan identtinen hänen Chase-pankkisovelluksensa kanssa, joten hän kirjautui sisään. 

"Ei tullut edes mieleeni, etten puhunut laillisen Chasen edustajan kanssa", Mullenaux kertoi CNBC:lle.

Takana ovat ajat, jolloin ainoa asia, jota kuluttajan oli varottava, oli epäilyttävä sähköposti tai linkki. Kyberrikollisten taktiikat ovat muuttuneet monitahoisiksi suunnitelmiksi, ja useat rikolliset toimivat joukkueena käyttääkseen kehittyneitä taktiikoita, joihin sisältyy valmiita ohjelmistoja, joita myydään sarjoissa, jotka peittävät puhelinnumerot ja jäljittelevät uhrin pankin kirjautumissivuja. Se on leviävä uhka, jonka kyberturvallisuusasiantuntijat sanovat lisäävän toimintaa. He ennustavat, että se vain pahenee. Valitettavasti näiden järjestelmien uhrien pankki ei aina ole velvollinen maksamaan takaisin varastettuja varoja.

Kirjautuessaan sisään Mullenaux sanoi nähneensä suuria rahasummia liikkuvan tiliensä välillä. Puhelimessa ollut henkilö kertoi hänelle, että hänen tilillään oli aktiivisesti yrittämässä varastaa hänen rahojaan ja että ainoa tapa pitää ne turvassa oli siirtää rahaa pankkivalvojalle, jossa se säilytettäisiin väliaikaisesti, kun he turvaavat hänen tilinsä.

Pelästyneenä siitä, että hänen kovalla työllä ansaitut säästönsä oli varastettu, Mullenaux sanoi, että hän oli puhelimessa lähes kolme tuntia, seurasi kaikkia hänelle annettuja ohjeita ja vastasi hänelle esitettyihin turvakysymyksiin. 

CNBC on tarkistanut Mullenaux'n matkapuhelintietueet, pankkitilitiedot sekä kuvat hänelle lähetetystä tekstiviestistä ja linkistä.

Mullenaux, joka on Aquaphantin, ilman kosteutta suodatetuksi vedeksi muuntavan teknologiayrityksen, keksijä ja perustaja, ei tiennyt, että puhelimessa oleva henkilö oli osa kehittynyttä kyberrikollistiimiä.

Kun Mullenaux puhui tämän valepetososaston edustajan kanssa, toinen huijari esiintyi Mullenauxina toisessa puhelussa Chasen kanssa valtuuttamaan pankkisiirrot. Kaikki vastaukset Mullenaux'lta kysyttyihin turvakysymyksiin syötettiin sitten toiselle huijarille. Näin huijarit pystyivät antamaan oikeat vastaukset ja vakuuttamaan Chasen työntekijän, että he puhuivat tilinhaltijalle.

Huijaus toimi. Kun Chasen työntekijä oli vakuuttunut siitä, että Mullenaux soitti valtuuttaakseen kolme pankkisiirtoa, yli 120,000 XNUMX dollaria katosi hänen pankkitililtä ja hänen yrityksistään huolimatta mitään niistä ei ole saatu takaisin. 

CNBC:lle antamassaan lausunnossa a jahdata tiedottaja sanoi: "Pankit eivät koskaan pyydä kuluttajia tai yrityksiä lähettämään rahaa itselleen tai kenellekään muulle petosten estämiseksi, mutta huijarit pyytävät. Varmista, että puhut todella Chasen kanssa, soittamalla korttisi takapuolella olevaan numeroon tai käymällä konttorissa."

Mullenaux sanoi olevansa turhautunut ja pettynyt kokemuksestaan ​​yrittäessään saada takaisin varastetut varat.

"Riippumatta siitä, mitä he tekevät suojellakseen asiakkaita, huijarit ovat aina askeleen edellä", Mullenaux sanoi ja lisäsi, että hänen rahansa olisivat olleet turvallisempia kenkälaatikossa kuin suuressa pankissa, johon kyberrikolliset tähtäävät.

Federal Trade Commission neuvoo, että jokaisen asiakkaan, joka epäilee lähettäneensä rahaa huijareille pankkisiirrolla, tulee välittömästi ottaa yhteyttä pankkiinsa, ilmoittaa vilpillisestä siirrosta ja pyytää sen peruuttamista.

Aika on kriittinen yritettäessä saada takaisin vilpillisen pankkisiirron kautta lähetettyjä varoja, FTC kertoi CNBC:lle. Virasto sanoi, että uhrien tulisi myös ilmoittaa rikoksesta virastolle sekä FBI:n Internet Crime Complaint Centerille samana tai seuraavana päivänä, jos mahdollista. 

Mullenaux sanoi ymmärtäneensä seuraavana aamuna jotain vialla, kun hänen varojaan ei ollut palautettu hänen tililleen.

Hän ajoi välittömästi paikalliseen Chase-pankkikonttoriinsa, jossa hänelle kerrottiin, että hän oli todennäköisesti joutunut petoksen uhriksi. Mullenaux sanoi, että asiaa ei käsitelty kiireellisesti, eikä käänteistä pankkisiirtoyritystä, jota FTC ehdottaa, että asiakkaat pyytävät, ei tarjottu vaihtoehtona.

Sen sijaan Mullenaux sanoi, että sivuliikkeen työntekijä kertoi hänelle, että hän saa postissa 10 päivän kuluessa paketin, jonka hän voisi täyttää vaatiakseen. Mullenaux pyysi pakettia välittömästi. Hän täytti sen ja lähetti sen samana päivänä.

Tämä väite, samoin kuin toinen toimeenpanevalle elimelle jätetty Mullenaux, hylättiin. Asiaa tutkineet työntekijät sanoivat, että Mullenaux oli soittanut valtuuttamaan pankkisiirrot.

CNBC toimitti Chaselle Mullenauxin matkapuhelintiedot, jotka osoittivat, että hän ei koskaan soittanut Chaselle kyseisenä päivänä. Tietueet viittaavat myös pankkisiirtotietueisiin verrattuna, että Mullenaux ei voinut olla se, joka soitti Chaselle hyväksyäkseen pankkisiirrot, koska kaikki kolme olivat valtuutettuja ja kävivät läpi, kun Mullenaux oli vielä puhelimessa huijareiden kanssa.

Se ei kuitenkaan muuttanut pankin päätöstä ja jälleen kerran Mullenaux'n vaatimus hylättiin, koska hän oli jakanut yksityisiä tietojaan rikollisten kanssa.

Ymmärsivätpä huijarit tekevänsä sen tai eivät, he käyttivät menestyksekkäästi hyväkseen kahta porsaanreikää nykyisessä kuluttajansuojalainsäädännössä, minkä seurauksena Chasea ei vaadittu korvaamaan Mullenauxin varastettuja varoja. Lain mukaan pankkien ei tarvitse korvata varastettuja varoja, kun asiakas huijataan lähettämään rahaa verkkorikolliselle.

Sähköisen varojen siirtolain mukaan, joka kattaa useimmat sähköiset tapahtumat, kuten vertaismaksut ja verkkomaksut tai -siirrot, pankkien on kuitenkin maksettava takaisin asiakkaille, jos varoja varastetaan ilman asiakkaan lupaa. Valitettavasti pankkisiirrot, joissa siirretään rahaa pankista toiseen, eivät kuulu lain piiriin, mikä ei myöskään kata petoksia, joihin liittyy paperisekkejä ja prepaid-kortteja.

Kyberrikolliset siirsivät myös varoja Mullenaux'n henkilökohtaisilta sekki- ja säästötileiltä hänen yritystililleen ennen pankkisiirtojen aloittamista. Sääntö E, joka on suunniteltu auttamaan kuluttajia saamaan rahansa takaisin luvattomasta tapahtumasta, suojaa vain yksityishenkilöitä, ei yritystilejä.

Chasen edustaja sanoi, että tutkinta jatkuu pankin yrittäessä saada takaisin varastetut varat.

Sitä Mullenaux sanoo rukoilevansa. "Rukoilen, että tämä tragedia sovitetaan jotenkin, että [pankin] johto näkee, mitä minulle tapahtui ja että rahani palautetaan."

Mullenaux on myös tehnyt ilmoituksia paikalliselle poliisille ja FBI:n Internet Crime Complaint Centerille, mutta kumpikaan ei ole ottanut häneen yhteyttä hänen tapauksestaan.

Kyberrikolliset eivät ole vain Chase-asiakkaiden kohteena näillä kehittyneillä järjestelmillä. Tänä kesänä IronNet paljastui "phishing-as-a-service" -alusta joka myy valmiita tietojenkalastelupaketteja kyberrikollisille, jotka kohdistuvat yhdysvaltalaisiin yrityksiin, mukaan lukien pankkeihin. Muokattavat sarjat voivat maksaa vain 50 dollaria kuukaudessa ja sisältävät koodia, grafiikkaa ja konfiguraatiotiedostoja, jotka muistuttavat pankin kirjautumissivuja.

IronNetin uhka-analyysipäällikkö Joey Fitzpatrick sanoi, että vaikka hän ei voi varmuudella sanoa, että näin Mullenaux on huijattu, "häntä vastaan ​​tehdyssä hyökkäyksessä on kaikki tunnusmerkit hyökkääjistä, jotka käyttävät samanlaisia ​​multimodaalisia työkaluja kuin tietojenkalastelu. -palvelualustat tarjoavat."

Hän odottaa "palveluna" -tyyppisten tarjousten saavan edelleen vetovoimaa, sillä sarjat eivät ainoastaan ​​laske matalan ja keskitason kyberrikollisten rimaa tietojenkalastelukampanjoiden luomiseen, vaan myös antavat korkeamman tason rikollisille mahdollisuuden keskittyä. yhdellä alueella ja kehittää kehittyneempiä taktiikoita ja haittaohjelmia.

"Olemme nähneet 10 prosentin lisäyksen tietojenkalastelupakettien käyttöönotossa pelkästään tammikuussa 2023", Fitzpatrick sanoi.

Vuonna 2022 yritys näki 45 prosentin kasvun tietojenkalasteluvaroituksissa ja -havainnoista.

Mutta kyse ei ole vain lisääntyvistä tietojenkalastelusuunnitelmista, vaan kaikki kyberhyökkäyksiä. Check Pointin tiedot osoittivat, että vuonna 2022 viikoittaiset kyberhyökkäykset finanssi-/pankkisektoriin lisääntyivät 52 % verrattuna vuoden 2021 hyökkäyksiin.

"Kyberhyökkäysten ja petosjärjestelmien kehittyneisyys on lisääntynyt merkittävästi viimeisen vuoden aikana", sanoi Check Pointin uhkaryhmien johtaja Sergey Shykevich. "Nyt monissa tapauksissa kyberrikolliset eivät luota vain tietojenkalastelu-/haitallisten sähköpostien lähettämiseen ja odottamiseen, että ihmiset napsauttavat sitä, vaan yhdistävät sen puheluihin, MFA-väsymyshyökkäyksiin ja muihin."

Molemmat kyberturvallisuusasiantuntijat sanoivat, että pankit voivat tehdä enemmän valistaakseen asiakkaita. 

Shykevich sanoi, että pankkien pitäisi panostaa parempaan uhkien tiedustelutietoihin, jotka voivat havaita ja estää kyberrikollisten käyttämät menetelmät. Esimerkkinä hän antoi kirjautumisen vertaamisen henkilön digitaaliseen "sormenjälkeen", joka perustuu tietoihin, kuten tilin käyttämä selain, näytön tarkkuus tai näppäimistön kieli.

Yhdestä asiasta Chase, liittovaltion virastot ja kyberturvallisuusasiantuntijat olivat kaikki samaa mieltä: jos asiakas saa puhelun pankistaan ​​ja hän alkaa kysyä tietoja, katkaise puhelin ja soita pankkiin itse.

"Jos kuluttaja saa yllättäen puhelun, tekstiviestin tai sähköpostin keneltä tahansa, joka väittää olevansa hänen pankistaan ​​ja varoittaa ongelmasta, kuluttajan tulee katkaista puhelin (tai poistaa teksti/sähköposti eikä klikata linkkejä) ja yritä soittaa heidän pankkiinsa puhelinnumeroon, jonka he tietävät olevan oikea", sanoi FTC:n tiedottaja.

Verkkorikollisilla on kyky huijata soittajan tunnusta ja he voivat käyttää varastettuja henkilökohtaisia ​​tietoja huijatakseen uhrin luovuttamaan rahaa.

Lähetä vinkkejä sähköpostitse [sähköposti suojattu]