Az „adathalászat szolgáltatásként” készletek növelik a lopások számát: Egy cégtulajdonos története

A bankok óriási összegeket költöttek a kiberbiztonságra és a csalások felderítésére, de mi történik, ha a bűnözési taktika elég kifinomult ahhoz, hogy még a banki alkalmazottakat is megtévessze? 

Cody Mullenaux számára ez azt jelentette, hogy több mint 120,000 XNUMX dollárt utalt át a Chase folyószámlájáról, és alig volt remény arra, hogy valaha is megtérítse ellopott pénzét.

A 40 éves kaliforniai kisvállalkozás tulajdonosának, Mullenaux-nak szóló saga december 19-én kezdődött. Miközben karácsonyi bevásárolt kislányának, felhívta egy személy, aki azt állította, hogy a Chase csalási osztályától származik, és igazolást kért. gyanús tranzakció.

A 800-as szám megegyezett a Chase ügyfélszolgálatával, így Mullenaux nem tartotta gyanúsnak, amikor az illető személyazonosítás céljából SMS-ben küldött biztonságos linken keresztül kérte, hogy jelentkezzen be fiókjába. A link jogosnak tűnt, és a megnyíló webhely megegyezett a Chase banki alkalmazással, ezért bejelentkezett. 

"Még meg sem fordult a fejemben, hogy nem egy törvényes Chase képviselővel beszéltem" - mondta Mullenaux a CNBC-nek.

Elmúltak azok az idők, amikor a fogyasztónak csak egy gyanús e-mailre vagy linkre kellett vigyáznia. A kiberbűnözők taktikái sokrétű sémákká változtak, ahol több bűnöző csapatként kifinomult taktikákat alkalmaz, olyan kész szoftvereket használva, amelyeket olyan készletekben árulnak, amelyek elfedik a telefonszámokat és utánozzák az áldozat bankjának bejelentkezési oldalait. Ez egy átfogó fenyegetés, amely a kiberbiztonsági szakértők szerint az aktivitás felpörgését eredményezi. Azt jósolják, hogy ez csak rosszabb lesz. Sajnos ezeknek a rendszereknek az áldozatai számára a bank nem mindig köteles visszafizetni az ellopott pénzt.

Miután bejelentkezett, Mullenaux azt mondta, hogy nagy összegeket látott a számlái között mozogni. A telefonáló azt mondta neki, hogy valaki a számláján aktívan próbálja ellopni a pénzét, és hogy az egyetlen módja annak, hogy biztonságban legyen, az az, hogy pénzt utalnak át a bankfelügyelőnek, ahol ideiglenesen visszatartják, amíg biztosítják a számláját.

Mullenaux attól félt, hogy nehezen megkeresett megtakarításait hamarosan ellopják, és azt mondta, hogy közel három órán keresztül telefonált, követte az összes utasítást, amit kapott, és válaszolt a további biztonsági kérdésekre. 

A CNBC áttekintette Mullenaux mobiladatait, bankszámla-információit, valamint a neki küldött szöveges üzenet és link képeit.

Mullenaux, aki a levegő nedvességét szűrt vízzé alakító technológiai vállalat, az Aquaphant feltalálója és alapítója, nem tudott arról, hogy a telefonáló személy egy kifinomult kiberbűnözői csapat tagja volt.

Míg Mullenaux beszélt az álcsalásokkal foglalkozó osztály képviselőjével, egy másik csaló Mullenauxnak adta ki magát egy másik telefonhívás során Chase-sel, hogy engedélyezze az elektronikus átutalásokat. A Mullenaux-nak feltett biztonsági kérdésekre adott válaszok a második csalóhoz kerültek. Ez lehetővé tette a csalók számára, hogy a helyes válaszokat adják, és meggyőzzék a Chase alkalmazottját arról, hogy a számlatulajdonossal beszélnek.

Az álhír működött. Miután a Chase alkalmazottja meg volt győződve arról, hogy Mullenaux telefonált, hogy engedélyezze a három elektronikus átutalást, több mint 120,000 XNUMX dollár tűnt el a bankszámlájáról, és minden igyekezete ellenére sem térült meg. 

A CNBC-nek adott nyilatkozatában a üldözés A szóvivő azt mondta: „A bankok soha nem kérik meg a fogyasztókat vagy a vállalkozásokat, hogy küldjenek pénzt maguknak vagy bárki másnak a csalás megelőzése érdekében, de a csalók igen. Ha meg szeretné győződni arról, hogy valóban beszél Chase-szel, hívja fel a kártya hátoldalán található számot, vagy keressen fel egy fiókot.”

Mullenaux elmondta, hogy csalódottnak és vereségnek érzi magát az ellopott pénzek visszaszerzése során szerzett tapasztalatai miatt.

„Nem számít, mit tesznek az ügyfelek védelmében, a csalók mindig egy lépéssel előrébb járnak” – mondta Mullenaux, hozzátéve, hogy a pénze nagyobb biztonságban lett volna egy cipősdobozban, mint egy nagy bankban, amelyre a kiberbűnözők céloznak.

A Szövetségi Kereskedelmi Bizottság azt tanácsolja, hogy minden olyan ügyfél, aki úgy gondolja, hogy elektronikus átutalással pénzt küldhetett csalóknak, azonnal lépjen kapcsolatba a bankjával, jelentse a csalárd átutalást, és kérje annak visszavonását.

Az FTC a CNBC-nek elmondta, hogy az idő kritikus, amikor megpróbálják visszaszerezni a csalárd elektronikus átutalással küldött pénzeszközöket. Az ügynökség szerint az áldozatoknak lehetőség szerint még aznap vagy másnap jelenteniük kell a bűncselekményt az ügynökségnek, valamint az FBI Internetes Bűnügyi Panaszközpontjának. 

Mullenaux azt mondta, másnap reggel jött rá, hogy valami nincs rendben, amikor a pénzét nem térítették vissza a számlájára.

Azonnal a helyi Chase bankfiókba hajtott, ahol közölték vele, hogy valószínűleg csalás áldozata lett. Mullenaux azt mondta, hogy az ügyet nem kezelték sürgősen, és a fordított elektronikus átutalási kísérletet, amelyet az FTC javasol az ügyfeleknek, nem ajánlottak fel opcióként.

Ehelyett Mullenaux azt mondta, hogy a fióki alkalmazott azt mondta neki, hogy 10 napon belül postai úton kap egy csomagot, amelyet kitölthet, és igényt nyújthat be. Mullenaux azonnal elkérte a csomagot. Kitöltötte és még aznap benyújtotta.

Ezt az állítást, valamint a végrehajtó hatalomhoz benyújtott második Mullenaux-kérelmet elutasították. Az ügyet vizsgáló alkalmazottak azt mondták, Mullenaux telefonált, hogy engedélyezze az elektronikus átutalásokat.

A CNBC átadta Chase-nek Mullenaux mobiltelefon-nyilvántartását, amelyből kiderült, hogy a kérdéses napon soha nem telefonált Chase-nek. A feljegyzések az elektronikus átutalásokkal összevetve azt is sugallják, hogy nem Mullenaux hívhatta fel Chase-t, hogy engedélyezze az elektronikus átutalásokat, mert mindhárman engedélyezettek voltak, és átmentek, miközben Mullenaux még telefonált a csalókkal.

Ez azonban nem változtatott a bank döntésén, és Mullenaux követelését ismét elutasították, mivel megosztotta személyes adatait a bűnözőkkel.

Akár rájöttek a csalók, hogy ezt teszik, akár nem, sikeresen kihasználták a jelenlegi fogyasztóvédelmi jogszabályok két kiskapuját, amelyek eredményeként Chase-nek nem kellett pótolnia Mullenaux ellopott pénzeszközeit. Jogilag a bankoknak nem kell visszafizetniük az ellopott pénzeszközöket, ha az ügyfelet ráveszik arra, hogy pénzt küldjön egy számítógépes bűnözőnek.

Az elektronikus pénzátutalási törvény értelmében azonban, amely lefedi a legtöbb elektronikus tranzakciót, például a peer-to-peer fizetéseket és az online fizetéseket vagy átutalásokat, a bankok kötelesek visszafizetni az ügyfeleknek, ha pénzeszközöket az ügyfél engedélye nélkül lopnak el. Sajnos a törvény nem terjed ki az elektronikus átutalásokra, amelyek pénzátutalással járnak egyik bankból a másikba, és nem terjed ki a papíralapú csekkekkel és feltöltőkártyás kártyákkal kapcsolatos csalásokra is.

A kiberbűnözők az elektronikus átutalások megkezdése előtt pénzeszközöket utaltak át Mullenaux személyes csekk- és megtakarítási számláiról az üzleti számlájára. Az E rendelet, amelynek célja, hogy segítse a fogyasztókat a jogosulatlan tranzakciókból származó pénzük visszaszerzésében, csak a magánszemélyeket védi, az üzleti számlákat nem.

Chase képviselője elmondta, hogy a nyomozás folyamatban van, miközben a bank megpróbálja visszaszerezni az ellopott pénzeszközöket.

Mullenaux azt mondja, hogy ezért imádkozik. „Imádkozom, hogy valahogy megbékéljenek ezzel a tragédiával, hogy a [bank] vezetése lássa, mi történt velem, és visszakapják a pénzemet.”

Mullenaux feljelentést tett a helyi rendőrségen és az FBI Internetes Bűnügyi Panaszközpontján is, de egyikük sem kereste meg az ügyében.

Ezekkel a kifinomult rendszerekkel nemcsak a Chase ügyfeleit veszik célba a kiberbűnözők. Az elmúlt nyáron az IronNet fedezte fel egy „adathalászat szolgáltatásként” platform amely kész adathalász készleteket ad el az egyesült államokbeli székhelyű vállalatokat, köztük bankokat célzó számítógépes bűnözőknek. A testreszabható készletek havi 50 dollárba kerülhetnek, és kódot, grafikát és konfigurációs fájlokat tartalmaznak, amelyek hasonlítanak a banki bejelentkezési oldalakra.

Joey Fitzpatrick, az IronNet fenyegetéselemzési menedzsere azt mondta, hogy bár nem tudja biztosan megmondani, hogy így csalták meg Mullenaux-t, „az ellene irányuló támadás minden jelét magán viseli, hogy a támadók ugyanazokat a multimodális eszközöket használják, mint az adathalászat. -szolgáltatási platformok nyújtanak.”

Arra számít, hogy a „szolgáltatásként” típusú ajánlatok továbbra is egyre nagyobb teret hódítanak majd, mivel a készletek nemcsak az alacsony és közepes szintű kiberbűnözők számára teszik le a lécet, hogy adathalász kampányokat hozzanak létre, hanem lehetővé teszik a magasabb szintű bűnözők számára, hogy összpontosítsanak. egyetlen területen, és kifinomultabb taktikákat és rosszindulatú programokat dolgozzon ki.

„Csak 10 januárjában 2023%-os növekedést tapasztaltunk az adathalász készletek elterjedésében” – mondta Fitzpatrick.

2022-ben a vállalatnál 45%-kal nőtt az adathalász riasztások és észlelések száma.

De nem csak az adathalász rendszerek terjednek el, hanem kibertámadások is. A Check Point adatai szerint 2022-ben 52%-kal nőtt a pénzügyi/banki szektort ért heti kibertámadások száma a 2021-es támadásokhoz képest.

„A kibertámadások és csalási sémák kifinomultsága jelentősen megnőtt az elmúlt évben” – mondta Szergej Shykevich, a Check Point fenyegetéscsoport-menedzsere. „Most a kiberbűnözők sok esetben nem csupán az adathalász/rosszindulatú e-mailek küldésére hagyatkoznak, és arra várnak, hogy az emberek rákattintsanak, hanem telefonhívásokkal, MFA [többtényezős hitelesítési] kimerülési támadásokkal és még sok mással kombinálják.”

Mindkét kiberbiztonsági szakértő szerint a bankok többet tehetnek az ügyfelek oktatásáért. 

Shykevich szerint a bankoknak be kellene fektetniük egy jobb fenyegetés-felderítésbe, amely képes észlelni és blokkolni a kiberbűnözők által használt módszereket. Példaként a bejelentkezést egy személy digitális „ujjlenyomatával” hasonlítja össze, amely olyan adatokon alapul, mint a fiók által használt böngésző, a képernyő felbontása vagy a billentyűzet nyelve.

Egy dologban Chase, a szövetségi ügynökségek és a kiberbiztonsági szakértők mind egyetértettek: ha egy ügyfél telefonhívást kap a bankjától, és az illető elkezd információt kérni, tegye le és hívja vissza a bankot.

„Ha a fogyasztót váratlanul felhívja, sms vagy e-mail valaki, aki azt állítja magáról, hogy a bankja, és figyelmezteti egy problémára, a fogyasztónak le kell tennie a telefont (vagy törölnie kell a szöveget/e-mailt, és ne kattintson a linkekre) és próbálja meg felhívni a bankjukat egy olyan telefonszámon, amelyet valódinak ismer” – mondta az FTC szóvivője.

A kiberbűnözők képesek meghamisítani a hívóazonosítót, és felhasználhatják az ellopott személyes adatokat, hogy az áldozatot pénz átadására csalják meg.

Kérjük, írjon tippeket e-mailben [e-mail védett]