Комплекти «фішинг як послуга» сприяють збільшенню крадіжок: історія одного власника бізнесу

Банки витрачають величезні суми на кібербезпеку та виявлення шахрайства, але що станеться, коли злочинна тактика достатньо витончена, щоб навіть обдурити банківських працівників? 

Для Коді Маллена це означало перерахування понад 120,000 XNUMX доларів США з поточного рахунку в Chase без надії коли-небудь відшкодувати вкрадені кошти.

Сага про Мулленау, 40-річного власника малого бізнесу з Каліфорнії, почалася 19 грудня. Під час різдвяних покупок для своєї маленької дочки йому зателефонувала особа, яка видалася за співробітника відділу боротьби з шахрайством Chase і попросила перевірити це. підозріла операція.

Номер 800 збігався зі службою обслуговування клієнтів Chase, тому Мулленаукс не вважав підозрілим, коли особа попросила його увійти до свого облікового запису через захищене посилання, надіслане текстовим повідомленням для ідентифікації. Посилання виглядало законним, а веб-сайт, який відкрився, ідентичний його банківському додатку Chase, тому він увійшов. 

«Мені навіть на думку не спадало, що я не розмовляю з законним представником Chase», — сказав Мулленаукс CNBC.

Пройшли ті часи, коли єдине, чого споживач повинен був остерігатися, це підозрілий електронний лист або посилання. Тактика кіберзлочинців перетворилася на багатосторонні схеми, коли кілька злочинців діють як команда для застосування складних тактик із застосуванням готового програмного забезпечення, що продається в комплектах, яке маскує телефонні номери та імітує сторінки входу в банк жертви. Експерти з кібербезпеки кажуть, що це поширена загроза, яка спричиняє зростання активності. Вони прогнозують, що буде тільки гірше. На жаль, від жертви цих схем банк не завжди зобов'язаний повернути вкрадені кошти.

Після того, як він увійшов в систему, Мулленаукс сказав, що бачив великі суми грошей, що переміщуються між його рахунками. Людина по телефону сказала йому, що на його рахунку хтось активно намагається вкрасти його гроші, і що єдиний спосіб зберегти їх у безпеці — це переказати гроші інспектору банку, де вони будуть тимчасово зберігатися, поки вони захистять його рахунок.

Наляканий тим, що його важко зароблені заощадження ось-ось вкрадуть, Мулленаукс сказав, що протримався по телефону майже три години, виконував усі інструкції та відповідав на додаткові питання безпеки, які йому задавали. 

CNBC переглянув записи стільникового зв’язку Маллена, інформацію про банківський рахунок, а також зображення текстового повідомлення та посилання, які йому надіслали.

Чого не знав Мулленаукс, який є винахідником і засновником Aquaphant, технологічної компанії, яка перетворює вологу з повітря на фільтровану воду, так це те, що людина, яка розмовляла по телефону, була частиною досвідченої команди кіберзлочинців.

Поки Мулленаукс спілкувався з цим фальшивим представником відділу боротьби з шахрайством, другий шахрай видавав себе за Мулленаукс під час іншої телефонної розмови з Чейзом, щоб авторизувати банківські перекази. Усі відповіді на питання безпеки, які задавали Мулленаукс, потім передавали другому шахраю. Це дозволило шахраям надати правильні відповіді та переконати співробітника Chase, що вони спілкуються з власником рахунку.

Обман спрацював. Після того, як співробітник Chase переконався, що саме Мулленау подзвонив, щоб авторизувати три банківські перекази, понад 120,000 XNUMX доларів зникли з його банківського рахунку, і, незважаючи на всі його зусилля, нічого з них не було повернуто. 

У заяві для CNBC а погоня прес-секретар сказав: «Банки ніколи не вимагатимуть від споживачів або компаній надсилати гроші собі або будь-кому іншому, щоб запобігти шахрайству, але шахраї будуть. Щоб підтвердити, що ви справді розмовляєте з Чейзом, зателефонуйте за номером, вказаним на звороті вашої картки, або відвідайте відділення».

Мулленаукс сказав, що відчуває розчарування та поразку через свій досвід, намагаючись повернути свої вкрадені кошти.

«Незалежно від того, що вони роблять, щоб захистити клієнтів, шахраї завжди на крок попереду», — сказав Мулленаукс, додавши, що його гроші були б безпечнішими у взуттєвій коробці, ніж у великому банку, на який націлені кіберзлочинці.

Федеральна торгова комісія радить будь-якому клієнту, який вважає, що він міг надіслати гроші шахраям за допомогою банківського переказу, негайно зв’язатися зі своїм банком, повідомити про шахрайський переказ і попросити його скасувати.

У FTC повідомили CNBC, що час має вирішальне значення для повернення коштів, надісланих шахрайським банківським переказом. Агентство зазначило, що жертви також повинні повідомити про злочин агентству, а також Центру скарг на злочини в Інтернеті ФБР того ж дня або наступного дня, якщо це можливо. 

Мулленаукс сказав, що наступного ранку він зрозумів, що щось не так, коли його кошти не повернули на його рахунок.

Він негайно поїхав до місцевого відділення банку Chase, де йому сказали, що він, ймовірно, став жертвою шахраїв. Мулленаукс сказав, що це питання не розглядалося з почуттям терміновості, і спроба зворотного банківського переказу, яку FTC пропонує клієнтам просити, не була запропонована як варіант.

Натомість Мулленаукс сказав, що співробітник філії сказав йому, що він отримає пакет поштою протягом 10 днів, який він зможе заповнити, щоб подати претензію. Мулене негайно попросив пакунок. Він його заповнив і того ж дня подав.

Цю претензію, а також другу заяву Мулленау до виконавчої влади, було відхилено. Співробітники, які розслідували цю справу, сказали, що Мулленаукс дзвонив, щоб дозволити банківські перекази.

CNBC надав Чейзу записи мобільних телефонів Малленаукс, які показали, що він ніколи не телефонував Чейзу в день, про який йдеться. Записи також свідчать, якщо порівнювати їх із записами про банківські перекази, що Малленаукс не міг дзвонити в Chase, щоб авторизувати банківські перекази, оскільки всі троє були авторизовані та пройшли, поки Мулленаукс ще спілкувався по телефону з шахраями.

Однак це не змінило рішення банку, і, знову ж таки, позов Малленау було відхилено, оскільки він поділився своєю особистою інформацією зі злочинцями.

Незалежно від того, розуміли шахраї, що вони це роблять, чи ні, вони успішно використали дві лазівки в чинному законодавстві про захист прав споживачів, що призвело до того, що Chase не вимагали замінити вкрадені кошти Mullenaux. За законом банки не зобов’язані відшкодовувати вкрадені кошти, коли клієнта обманом змушують надіслати гроші кіберзлочинцю.

Однак відповідно до Закону про електронні перекази коштів, який охоплює більшість типів електронних транзакцій, таких як однорангові платежі та онлайн-платежі або перекази, банки зобов’язані повертати клієнтам кошти, якщо кошти вкрадено без дозволу клієнта. На жаль, банківські перекази, які передбачають переказ грошей з одного банку в інший, не поширюються на закон, який також виключає шахрайство з використанням паперових чеків і передплачених карток.

Кіберзлочинці також переказували кошти з особистих чекових і ощадних рахунків Маллена на його бізнес-рахунок перед тим, як ініціювати банківські перекази. Регламент E, розроблений для того, щоб допомогти споживачам повернути свої гроші в результаті несанкціонованої транзакції, захищає лише фізичних осіб, а не бізнес-рахунки.

Представник Chase сказав, що розслідування триває, оскільки банк намагається повернути вкрадені кошти.

Це те, про що Мулленаукс каже, що він молиться. «Я молюся, щоб ця трагедія якось примирилася, щоб керівництво [банку] побачило, що зі мною сталося, і мої гроші повернули».

Мулленаукс також подав звіти до місцевої поліції та Центру скарг на злочини в Інтернеті ФБР, але ніхто не зв’язувався з ним щодо його справи.

За допомогою цих складних схем кіберзлочинці атакують не лише клієнтів Chase. Минулого літа компанія IronNet розкрила платформа «фішинг як послуга». який продає готові набори для фішингу кіберзлочинцям, націленим на американські компанії, зокрема банки. Настроювані комплекти можуть коштувати лише 50 доларів на місяць і включають код, графіку та файли конфігурації, що нагадують сторінки входу в банк.

Джоуї Фітцпатрік, менеджер з аналізу загроз в IronNet, сказав, що хоча він не може точно сказати, що саме так було ошукано Мулленау, «атака проти нього має всі ознаки того, що зловмисники використовують ті самі мультимодальні інструменти, що й фішинг-як -сервісні платформи».

Він очікує, що пропозиції типу «як послуга» продовжуватимуть набирати обертів, оскільки набори не лише знижуватимуть планку для створення фішингових кампаній для кіберзлочинців низького та середнього рівня, але також дозволять зосередитися злочинцям вищого рівня. на одній території та розробити більш складну тактику та зловмисне програмне забезпечення.

«Тільки за січень 10 року ми спостерігали зростання розгортання наборів для фішингу на 2023%, — сказав Фіцпатрік.

У 2022 році компанія помітила збільшення кількості сповіщень і виявлень фішингу на 45%.

Але зростають не лише фішингові схеми, а й кібератаки. Дані Check Point показали, що у 2022 році кількість щотижневих кібератак на фінансовий/банківський сектор зросла на 52% порівняно з атаками в 2021 році.

«Витонченість кібератак і схем шахрайства значно зросла протягом останнього року», — сказав Сергій Шикевич, менеджер групи загроз Check Point. «Тепер у багатьох випадках кіберзлочинці не покладаються лише на надсилання фішингових/шкідливих електронних листів і чекають, поки люди натиснуть їх, а поєднують це з телефонними дзвінками, MFA [багатофакторною автентифікацією] втомними атаками тощо».

Обидва експерти з кібербезпеки сказали, що банки можуть зробити більше для навчання клієнтів. 

Шикевич сказав, що банки повинні інвестувати в кращу систему аналізу загроз, яка може виявляти та блокувати методи, які використовують кіберзлочинці. Прикладом, який він навів, є порівняння логіна з цифровим «відбитком пальця» людини, який базується на таких даних, як браузер, який використовує обліковий запис, роздільна здатність екрана чи мова клавіатури.

Чейз, федеральні агентства та експерти з кібербезпеки погоджувалися в одному: якщо клієнт отримує телефонний дзвінок із свого банку, і людина починає запитувати інформацію, покладіть слухавку та передзвоніть банку самостійно.

«Якщо споживач раптово отримує дзвінок, текстове повідомлення чи електронний лист від будь-кого, який стверджує, що він з його банку, і повідомляє про проблему, споживач повинен покласти слухавку (або видалити текст/електронну пошту та не натискати посилання) і спробуйте зателефонувати в їхній банк за номером телефону, який вони знають справжнім», — сказав речник FTC.

Кіберзлочинці мають можливість підробити ідентифікатор абонента та використовувати викрадену особисту інформацію, щоб обманом змусити жертву передати гроші.

Будь ласка, надішліть поради електронною поштою [захищено електронною поштою]