Zestawy „phishing jako usługa” zwiększają liczbę kradzieży: historia jednego właściciela firmy

Banki wydały ogromne kwoty na cyberbezpieczeństwo i wykrywanie oszustw, ale co się dzieje, gdy taktyki przestępcze są na tyle wyrafinowane, że oszukują nawet pracowników banku? 

Dla Cody'ego Mullenaux oznaczało to przelanie ponad 120,000 XNUMX $ z konta czekowego Chase z niewielką nadzieją na odzyskanie skradzionych funduszy.

Saga Mullenaux, 40-letniego właściciela małej firmy z Kalifornii, rozpoczęła się 19 grudnia. Robiąc świąteczne zakupy dla swojej córki, odebrał telefon od osoby, która twierdziła, że ​​jest z działu oszustw Chase i prosiła o weryfikację podejrzana transakcja.

Obsługa klienta Chase dopasowała 800 numerów, więc Mullenaux nie uznał za podejrzane, gdy osoba poprosiła go o zalogowanie się na swoje konto za pośrednictwem zabezpieczonego łącza wysłanego wiadomością tekstową w celu identyfikacji. Link wyglądał na autentyczny, a strona internetowa, która się otworzyła, wyglądała identycznie jak jego aplikacja bankowa Chase, więc się zalogował. 

„Nigdy nawet nie przyszło mi do głowy, że nie rozmawiam z prawowitym przedstawicielem Chase” – powiedział Mullenaux CNBC.

Dawno minęły czasy, kiedy jedyną rzeczą, na którą konsument musiał uważać, była podejrzana wiadomość e-mail lub link. Taktyki cyberprzestępców przekształciły się w wielotorowe schematy, w których wielu przestępców działa jako zespół, wdrażając wyrafinowane taktyki obejmujące gotowe oprogramowanie sprzedawane w zestawach, które maskują numery telefonów i imitują strony logowania do banku ofiary. To wszechobecne zagrożenie, które według ekspertów ds. cyberbezpieczeństwa napędza wzrost aktywności. Przewidują, że będzie tylko gorzej. Niestety, dla ofiary tych schematów, bank nie zawsze jest zobowiązany do zwrotu skradzionych środków.

Po zalogowaniu Mullenaux powiedział, że widział duże sumy pieniędzy przepływające między jego kontami. Osoba przez telefon powiedziała mu, że ktoś aktywnie próbuje ukraść jego pieniądze na jego koncie i że jedynym sposobem na ich zabezpieczenie jest przesłanie pieniędzy do nadzorcy banku, gdzie zostaną tymczasowo przechowane, podczas gdy oni zabezpieczą jego konto.

Przerażony, że jego ciężko zarobione oszczędności zostaną skradzione, Mullenaux powiedział, że rozmawiał przez telefon przez prawie trzy godziny, postępował zgodnie ze wszystkimi otrzymanymi instrukcjami i odpowiadał na dodatkowe pytania bezpieczeństwa, które mu zadano. 

CNBC przejrzała zapisy komórkowe Mullenaux, informacje o koncie bankowym, a także zdjęcia wiadomości tekstowej i linku, który został wysłany.

Mullenaux, który jest wynalazcą i założycielem Aquaphant, firmy technologicznej, która przetwarza wilgoć z powietrza w filtrowaną wodę, nie wiedział, że osoba, z którą rozmawiał przez telefon, była częścią wyrafinowanego zespołu cyberprzestępców.

Podczas gdy Mullenaux rozmawiał z tym fałszywym przedstawicielem działu oszustw, drugi oszust podszywał się pod Mullenaux podczas innej rozmowy telefonicznej z Chase'em w celu autoryzacji przelewów bankowych. Wszystkie odpowiedzi na pytania bezpieczeństwa, które zadał Mullenaux, były następnie przekazywane drugiemu oszustowi. Pozwoliło to oszustom udzielić poprawnych odpowiedzi i przekonać pracownika Chase, że rozmawiają z posiadaczem konta.

Oszustwo zadziałało. Kiedy pracownik Chase był przekonany, że to Mullenaux dzwonił w celu autoryzacji trzech przelewów bankowych, z jego konta bankowego zniknęło ponad 120,000 XNUMX $ i pomimo jego najlepszych starań żadna z nich nie została odzyskana. 

W oświadczeniu dla CNBC A pościg rzecznik powiedział: „Banki nigdy nie poproszą konsumentów ani firm o przesłanie pieniędzy sobie lub komukolwiek innemu, aby zapobiec oszustwom, ale oszuści to zrobią. Aby potwierdzić, że naprawdę rozmawiasz z Chase, zadzwoń pod numer podany na odwrocie karty lub odwiedź oddział”.

Mullenaux powiedział, że czuje się sfrustrowany i pokonany z powodu swoich doświadczeń związanych z próbą odzyskania skradzionych funduszy.

„Bez względu na to, co robią, aby chronić klientów, oszuści zawsze są o krok do przodu” — powiedział Mullenaux, dodając, że jego pieniądze byłyby bezpieczniejsze w pudełku po butach niż w dużym banku, który jest celem cyberprzestępców.

Federalna Komisja Handlu radzi, aby każdy klient, który uważa, że ​​mógł wysłać pieniądze oszustom przelewem bankowym, powinien natychmiast skontaktować się ze swoim bankiem, zgłosić oszukańczy przelew i poprosić o jego cofnięcie.

Czas ma kluczowe znaczenie, gdy próbujesz odzyskać środki wysłane za pomocą oszukańczego przelewu bankowego, FTC powiedział CNBC. Agencja stwierdziła, że ​​ofiary powinny również zgłosić przestępstwo agencji, a także Internet Crime Complaint Center FBI, tego samego lub następnego dnia, jeśli to możliwe. 

Mullenaux powiedział, że zdał sobie sprawę, że coś jest nie tak następnego ranka, kiedy jego środki nie zostały zwrócone na jego konto.

Natychmiast pojechał do lokalnego oddziału banku Chase, gdzie powiedziano mu, że prawdopodobnie padł ofiarą oszustwa. Mullenaux powiedział, że sprawa nie została załatwiona z poczuciem pilności, a próba odwrotnego przelewu bankowego, o którą FTC sugeruje klientów, nie była oferowana jako opcja.

Zamiast tego Mullenaux powiedział, że pracownik oddziału powiedział mu, że w ciągu 10 dni otrzyma pocztą paczkę, którą może wypełnić, aby złożyć wniosek. Mullenaux natychmiast zażądał paczki. Wypełnił go i złożył tego samego dnia.

Roszczenie to, wraz z drugim złożonym przez Mullenaux do władzy wykonawczej, zostało odrzucone. Pracownicy prowadzący dochodzenie w tej sprawie powiedzieli, że Mullenaux dzwonił w celu autoryzacji przelewów bankowych.

CNBC dostarczyło Chase'owi zapisy z telefonu komórkowego Mullenaux, które wykazały, że nigdy nie wykonywał żadnych wychodzących połączeń telefonicznych z Chase'em w przedmiotowym dniu. Zapisy sugerują również, w porównaniu z zapisami przelewów bankowych, że to nie mógł być Mullenaux, który zadzwonił do Chase w celu autoryzacji przelewów bankowych, ponieważ wszyscy trzej byli autoryzowani i przeszli, gdy Mullenaux nadal rozmawiał przez telefon z oszustami.

Nie zmieniło to jednak decyzji banku i ponownie roszczenie Mullenaux zostało odrzucone, ponieważ podzielił się on swoimi prywatnymi informacjami z przestępcami.

Niezależnie od tego, czy oszuści zdawali sobie sprawę, że to robią, czy nie, z powodzeniem wykorzystali dwie luki w obowiązujących przepisach dotyczących ochrony konsumentów, które spowodowały, że Chase nie był zobowiązany do zastąpienia skradzionych funduszy Mullenaux. Z prawnego punktu widzenia banki nie muszą zwracać skradzionych środków, gdy klient zostanie oszukany w celu wysłania pieniędzy cyberprzestępcy.

Jednak zgodnie z ustawą o elektronicznym transferze funduszy, która obejmuje większość rodzajów transakcji elektronicznych, takich jak płatności typu peer-to-peer oraz płatności lub przelewy online, banki są zobowiązane do spłaty klientów w przypadku kradzieży środków bez autoryzacji klienta. Niestety, przelewy bankowe, które obejmują przelewanie pieniędzy z jednego banku do drugiego, nie są objęte ustawą, która wyklucza również oszustwa związane z czekami papierowymi i kartami przedpłaconymi.

Cyberprzestępcy przelali również środki z osobistych kont czekowych i oszczędnościowych Mullenaux na jego konto firmowe przed zainicjowaniem przelewów bankowych. Rozporządzenie E, które ma pomóc konsumentom odzyskać pieniądze z nieautoryzowanej transakcji, chroni tylko osoby fizyczne, a nie konta firmowe.

Przedstawiciel Chase powiedział, że śledztwo trwa, ponieważ bank próbuje odzyskać skradzione środki.

To jest coś, o co Mullenaux mówi, że się modli. „Modlę się, aby ta tragedia została jakoś pogodzona, aby kierownictwo [banku] zobaczyło, co się ze mną stało, i aby moje pieniądze zostały zwrócone”.

Mullenaux złożył również doniesienia na lokalnej policji i w Centrum Skarg o Przestępstwach Internetowych FBI, ale żadne z nich nie skontaktowało się z nim w sprawie.

Nie tylko klienci Chase są atakowani przez cyberprzestępców za pomocą tych wyrafinowanych schematów. Zeszłego lata odkrył IronNet platformę typu „phishing jako usługa”. która sprzedaje gotowe zestawy phishingowe cyberprzestępcom, których celem są firmy z siedzibą w USA, w tym banki. Konfigurowalne zestawy mogą kosztować zaledwie 50 USD miesięcznie i zawierają kod, grafikę i pliki konfiguracyjne przypominające strony logowania do banku.

Joey Fitzpatrick, kierownik ds. analizy zagrożeń w firmie IronNet, powiedział, że choć nie może z całą pewnością stwierdzić, czy w ten sposób oszukano Mullenaux, „atak przeciwko niemu nosi wszelkie znamiona napastników wykorzystujących ten sam rodzaj multimodalnych narzędzi, co phishing – jak -a-platformy usługowe zapewniają.”

Oczekuje, że oferty typu „as-a-service” będą nadal zyskiwać na popularności, ponieważ zestawy nie tylko obniżą poprzeczkę dla cyberprzestępców niskiego i średniego poziomu w tworzeniu kampanii phishingowych, ale także umożliwią przestępcom wyższego poziomu skupienie się na jednym obszarze i opracowywać bardziej wyrafinowane taktyki i złośliwe oprogramowanie.

„Zaobserwowaliśmy 10% wzrost liczby wdrożeń zestawów phishingowych tylko w styczniu 2023 r.” — powiedział Fitzpatrick.

W 2022 roku firma odnotowała 45% wzrost alertów i wykryć phishingu.

Ale to nie tylko rosnąca liczba programów phishingowych, to wszystko cyberataki. Dane firmy Check Point wykazały, że w 2022 r. nastąpił 52% wzrost cotygodniowych cyberataków na sektor finansowy/bankowy w porównaniu z atakami w 2021 r.

„Wyrafinowanie cyberataków i oszustw znacznie wzrosło w ciągu ostatniego roku” — powiedział Siergiej Szykiewicz, kierownik grupy ds. zagrożeń w Check Point. „Obecnie w wielu przypadkach cyberprzestępcy nie polegają tylko na wysyłaniu phishingu/złośliwych wiadomości e-mail i czekaniu, aż ludzie je klikną, ale łączą to z rozmowami telefonicznymi, atakami zmęczeniowymi MFA [uwierzytelnianie wieloskładnikowe] i nie tylko”.

Obaj eksperci ds. cyberbezpieczeństwa stwierdzili, że banki mogą robić więcej, aby edukować klientów. 

Shykevich powiedział, że banki powinny inwestować w lepszą analizę zagrożeń, która może wykrywać i blokować metody stosowane przez cyberprzestępców. Podał przykład, porównując login z cyfrowym „odciskiem palca” osoby, który jest oparty na danych, takich jak przeglądarka, z której korzysta konto, rozdzielczość ekranu lub język klawiatury.

Co do jednej rzeczy Chase, agencje federalne i eksperci ds. cyberbezpieczeństwa byli zgodni: jeśli klient otrzyma telefon ze swojego banku i osoba ta zacznie prosić o informacje, rozłącz się i oddzwoń do banku.

„Jeśli klient otrzyma nieoczekiwany telefon, SMS-a lub e-mail od kogoś, kto twierdzi, że pochodzi z jego banku, ostrzegając go o problemie, konsument powinien się rozłączyć (lub usunąć SMS-a/e-maila i nie klikać linków) i spróbuj zadzwonić do ich banku na numer telefonu, o którym wiedzą, że jest prawdziwy” – powiedział rzecznik FTC.

Cyberprzestępcy potrafią sfałszować identyfikator dzwoniącego i mogą wykorzystać skradzione dane osobowe, aby nakłonić ofiarę do przekazania pieniędzy.

Proszę napisz wskazówki do [email chroniony]