Trusele „phishing-as-a-service” generează o creștere a furtului: povestea unui proprietar de afaceri

Băncile au cheltuit sume enorme pentru securitatea cibernetică și detectarea fraudelor, dar ce se întâmplă atunci când tacticile criminale sunt suficient de sofisticate pentru a păcăli chiar și angajații băncii? 

Pentru Cody Mullenaux, aceasta însemna să aibă peste 120,000 de dolari transferați din contul său curent Chase, cu puține speranțe de a-și recupera vreodată fondurile furate.

Saga pentru Mullenaux, un proprietar de mică afacere în vârstă de 40 de ani din California, a început pe 19 decembrie. În timp ce face la cumpărături de Crăciun pentru fiica sa mică, el a primit un apel de la o persoană care pretindea că este de la departamentul de fraudă Chase și i-a cerut să verifice. o tranzacție suspectă.

Serviciul pentru clienți Chase cu 800 de numere corespundea, așa că Mullenaux nu a crezut că este suspect atunci când persoana ia cerut să se conecteze la contul său printr-un link securizat trimis prin mesaj text în scopuri de identificare. Linkul părea legitim, iar site-ul care s-a deschis părea identic cu aplicația sa bancară Chase, așa că s-a conectat. 

„Niciodată nu mi-a trecut prin cap că nu vorbeam cu un reprezentant legitim al Chase”, a spus Mullenaux pentru CNBC.

Au dispărut vremurile în care singurul lucru de care un consumator trebuia să se ferească era un e-mail sau un link suspect. Tacticile infractorilor cibernetici s-au transformat în scheme multiple, mai mulți criminali acționând ca o echipă pentru a implementa tactici sofisticate care implică software gata făcut, vândut în kituri care maschează numerele de telefon și imită paginile de conectare ale băncii victimei. Este o amenințare omniprezentă despre care experții în securitate cibernetică spun că conduce la o creștere a activității. Ei prevăd că se va înrăutăți. Din păcate, pentru victima acestor scheme, banca nu este întotdeauna obligată să ramburseze fondurile furate.

După ce a fost conectat, Mullenaux a spus că a văzut sume mari de bani mișcându-se între conturile sale. Persoana de la telefon i-a spus că cineva se află în contul lui, încercând în mod activ să-i fure banii și că singura modalitate de a-i păstra în siguranță este să transfere bani la supraveghetorul bancar, unde vor fi reținuți temporar în timp ce aceștia îi securizează contul.

Îngrozit că economiile sale câștigate cu greu erau pe cale să fie furate, Mullenaux a spus că a stat la telefon timp de aproape trei ore, a urmat toate instrucțiunile care i s-au dat și a răspuns la întrebările suplimentare de securitate care i-au fost adresate. 

CNBC a analizat înregistrările celulare ale lui Mullenaux, informațiile despre contul bancar, precum și imaginile mesajului text și link-ul care ia fost trimis.

Ceea ce nu știa Mullenaux, care este inventatorul și fondatorul Aquaphant, o companie tehnologică care transformă umezeala din aer în apă filtrată, nu știa că persoana la telefon făcea parte dintr-o echipă sofisticată de criminali cibernetici.

În timp ce Mullenaux a vorbit cu acest reprezentant fals al departamentului de fraudă, un al doilea escroc și-a dat identitatea lui Mullenaux la un alt apel telefonic cu Chase pentru a autoriza transferurile bancare. Toate răspunsurile la întrebările de securitate pe care le-a pus Mullenaux au fost apoi transmise celui de-al doilea escroc. Acest lucru a permis fraudătorilor să ofere răspunsurile corecte și să-l convingă pe angajatul Chase că vorbeau cu titularul contului.

Farsa a functionat. Odată ce angajatul Chase a fost convins că Mullenaux a sunat pentru a autoriza cele trei transferuri bancare, peste 120,000 de dolari au dispărut din contul său bancar și, în ciuda eforturilor sale, nimic nu a fost recuperat. 

Într-o declarație pentru CNBC, a cursă Purtătorul de cuvânt a spus: „Băncile nu vor cere niciodată consumatorilor sau companiilor să trimită bani către ei înșiși sau oricui altcineva pentru a preveni frauda, ​​dar escrocii o vor face. Pentru a confirma că vorbești cu adevărat cu Chase, sună la numărul de pe spatele cardului tău sau vizitează o sucursală.”

Mullenaux a spus că se simte frustrat și învins din cauza experienței sale în încercarea de a-și recupera fondurile furate.

„Indiferent ce ar face pentru a încerca să protejeze clienții, escrocii sunt întotdeauna cu un pas înainte”, a spus Mullenaux, adăugând că banii lui ar fi fost mai în siguranță într-o cutie de pantofi decât într-o bancă mare pe care o vizează infractorii cibernetici.

Comisia Federală de Comerț sfătuiește că orice client care crede că ar fi trimis bani escrocilor printr-un transfer bancar ar trebui să contacteze imediat banca, să raporteze transferul fraudulos și să solicite anularea acestuia.

Timpul este critic atunci când se încearcă recuperarea fondurilor trimise prin transfer bancar fraudulos, a declarat FTC pentru CNBC. Agenția a spus că victimele ar trebui să raporteze, de asemenea, crima agenției, precum și Centrului de plângeri pentru infracțiuni pe internet al FBI, în aceeași zi sau a doua zi, dacă este posibil. 

Mullenaux a spus că și-a dat seama că ceva nu era în regulă a doua zi dimineață, când fondurile sale nu i-au fost returnate în cont.

A mers imediat cu mașina la filiala locală a băncii Chase, unde i s-a spus că probabil a fost victima unei fraude. Mullenaux a spus că problema nu a fost tratată cu niciun sentiment de urgență și că o încercare de transfer invers, pe care FTC sugerează că clienții o cer, nu a fost oferită ca opțiune.

În schimb, Mullenaux a spus că angajatul sucursalei i-a spus că va primi un pachet prin poștă în termen de 10 zile pe care l-ar putea completa pentru a depune o reclamație. Mullenaux a cerut imediat pachetul. L-a completat și l-a depus în aceeași zi.

Această afirmație, împreună cu o a doua depusă de Mullenaux la puterea executivă, au fost respinse. Angajații care investighează problema au spus că Mullenaux a sunat pentru a autoriza transferurile bancare.

CNBC i-a furnizat lui Chase înregistrările de telefon mobil ale lui Mullenaux, care arătau că nu a făcut niciodată apeluri telefonice către Chase în ziua în cauză. Înregistrările sugerează, de asemenea, în comparație cu înregistrările transferurilor bancare, că nu ar fi putut fi Mullenaux cel care l-a sunat pe Chase pentru a autoriza transferurile bancare, deoarece toți trei au fost autorizați și au trecut în timp ce Mullenaux era încă la telefon cu escrocii.

Cu toate acestea, asta nu a schimbat decizia băncii și, din nou, pretenția lui Mullenaux a fost respinsă, deoarece acesta a împărtășit informațiile sale private cu criminalii.

Indiferent dacă escrocii și-au dat seama că o fac sau nu, au exploatat cu succes două lacune din legislația actuală privind protecția consumatorilor, care au dus la faptul că Chase nu a fost obligat să înlocuiască fondurile furate ale lui Mullenaux. Din punct de vedere legal, băncile nu trebuie să ramburseze fondurile furate atunci când un client este păcălit să trimită bani unui criminal cibernetic.

Cu toate acestea, în conformitate cu Legea privind transferul electronic de fonduri, care acoperă majoritatea tipurilor de tranzacții electronice, cum ar fi plățile peer-to-peer și plățile sau transferurile online, băncile sunt obligate să ramburseze clienții atunci când fondurile sunt furate fără ca clientul să o autorizeze. Din păcate, transferurile bancare, care implică transferul de bani de la o bancă la alta, nu sunt acoperite de lege, care exclude și frauda care implică cecuri pe hârtie și carduri preplătite.

Infractorii cibernetici au transferat, de asemenea, fonduri din conturile personale de control și de economii ale lui Mullenaux în contul său de afaceri înainte de a iniția transferurile bancare. Regulamentul E, care este conceput pentru a ajuta consumatorii să-și recupereze banii dintr-o tranzacție neautorizată, protejează doar persoanele fizice, nu conturile de afaceri.

Un reprezentant al lui Chase a spus că ancheta este în desfășurare, deoarece banca încearcă să recupereze fondurile furate.

Este ceva pentru care Mullenaux spune că se roagă. „Mă rog ca această tragedie să fie într-un fel împăcată, ca conducerea [băncii] să vadă ce mi s-a întâmplat și banii să fie returnați.”

Mullenaux a depus, de asemenea, sesizări la poliția locală și la Centrul de plângeri pentru infracțiuni pe internet al FBI, dar niciunul nu l-a contactat în legătură cu cazul său.

Nu doar clienții Chase sunt vizați de infractorii cibernetici cu aceste scheme sofisticate. Vara trecută, IronNet a descoperit o platformă „phishing-as-a-service”. care vinde kituri de phishing gata făcute infractorilor cibernetici care vizează companiile din SUA, inclusiv băncile. Seturile personalizabile pot costa până la 50 USD pe lună și includ coduri, grafice și fișiere de configurare pentru a semăna cu paginile de conectare la bancă.

Joey Fitzpatrick, manager de analiză a amenințărilor la IronNet, a spus că, deși nu poate spune cu certitudine că așa a fost fraudat Mullenaux, „atacul împotriva lui poartă toate semnele distinctive ale atacatorilor care folosesc același tip de instrumente multimodale ca și phishing-ul. -a-service platformele oferă.”

El se așteaptă ca ofertele de tip „as-a-service” să continue doar să câștige teren, deoarece kiturile nu numai că scad ștacheta pentru infractorii cibernetici de nivel scăzut sau mediu pentru a crea campanii de phishing, dar le permit și criminalilor de nivel superior să se concentreze. pe o singură zonă și să dezvolte tactici și programe malware mai sofisticate.

„Am observat o creștere cu 10% a implementării kit-urilor de phishing doar în ianuarie 2023”, a spus Fitzpatrick.

În 2022, compania a înregistrat o creștere cu 45% a alertelor și detectărilor de phishing.

Dar nu sunt doar scheme de phishing în creștere, ci toate atacuri cibernetice. Datele de la Check Point au arătat că în 2022 a existat o creștere cu 52% a atacurilor cibernetice săptămânale asupra sectorului financiar/bancar, comparativ cu atacurile din 2021.

„Rafinamentul atacurilor cibernetice și al schemelor de fraudă a crescut semnificativ în ultimul an”, a declarat Sergey Shykevich, managerul grupului de amenințări la Check Point. „Acum, în multe cazuri, infractorii cibernetici nu se bazează doar pe trimiterea de e-mailuri de tip phishing/malițios și pe așteptarea ca oamenii să facă clic pe el, ci îl combină cu apeluri telefonice, atacuri de oboseală MFA [autentificare multifactorială] și multe altele.”

Ambii experți în securitate cibernetică au spus că băncile pot face mai mult pentru a educa clienții. 

Shykevich a spus că băncile ar trebui să investească în informații mai bune privind amenințările care pot detecta și bloca metodele pe care le folosesc infractorii cibernetici. Un exemplu pe care l-a dat este compararea unei date de conectare cu „amprenta digitală” digitală a unei persoane, care se bazează pe date precum browserul pe care îl folosește un cont, rezoluția ecranului sau limba tastaturii.

Există un lucru asupra căruia Chase, agențiile federale și experții în securitate cibernetică erau toți de acord: dacă un client primește un apel telefonic de la banca sa și persoana începe să ceară informații, închideți și sunați singur banca înapoi.

„Dacă un consumator primește din senin un apel, un mesaj text sau un e-mail de la oricine care pretinde că este de la banca sa, avertizându-l cu privire la o problemă, consumatorul ar trebui să închidă (sau să ștergă textul/e-mailul și să nu facă clic pe linkuri) și încercați să-și suni banca la un număr de telefon despre care știu că este real”, a spus un purtător de cuvânt al FTC.

Infractorii cibernetici au capacitatea de a falsifica ID-ul apelantului și pot folosi informații personale furate pentru a păcăli o victimă să predea bani.

Vă rugăm să trimiteți sfaturi prin e-mail la [e-mail protejat]