Andmepüügi kui teenuse komplektid suurendavad varguste arvu: ühe ettevõtte omaniku lugu

Pangad on kulutanud tohutuid summasid küberturvalisusele ja pettuste avastamisele, kuid mis saab siis, kui kuritegelikud taktikad on piisavalt keerukad, et isegi pangatöötajaid lollitada? 

Cody Mullenaux jaoks tähendas see seda, et tema Chase'i arvelduskontolt laekus rohkem kui 120,000 XNUMX dollarit, lootuseta varastatud raha kunagi tagasi saada.

Californiast pärit 40-aastase väikeettevõtte Mullenaux' saaga sai alguse 19. detsembril. Oma väikese tütre jõuluoste tehes helistas talle inimene, kes väitis, et on pärit Chase'i pettuste osakonnast ja palus kontrollida kahtlane tehing.

800 number vastas Chase'i klienditeenindusele, nii et Mullenaux ei pidanud seda kahtlaseks, kui inimene palus tal oma kontole sisse logida tekstisõnumiga saadetud turvalise lingi kaudu tuvastamise eesmärgil. Link näis olevat õigustatud ja avanenud veebisait näis olevat identne tema Chase'i pangarakendusega, nii et ta logis sisse. 

"Mulle ei tulnud isegi pähe, et ma ei rääkinud Chase'i seadusliku esindajaga," ütles Mullenaux CNBC-le.

Möödas on ajad, mil tarbija pidi ettevaatlik olema, oli kahtlane e-kiri või link. Küberkurjategijate taktika on muutunud mitmeosalisteks skeemideks, kus mitu kurjategijat tegutseb meeskonnana, et rakendada keerukaid taktikaid, mis hõlmavad valmistarkvara, mida müüakse komplektides, mis varjavad telefoninumbreid ja jäljendavad ohvri panga sisselogimislehti. See on laialt levinud oht, mis küberturvalisuse ekspertide sõnul suurendab tegevust. Nad ennustavad, et see läheb ainult hullemaks. Kahjuks ei pea pank nende skeemide ohvrite puhul alati varastatud raha tagasi maksma.

Pärast sisselogimist ütles Mullenaux, et nägi tema kontode vahel suuri rahasummasid liikumas. Telefonikõneleja ütles talle, et keegi üritab tema kontol aktiivselt varastada tema raha ja et ainus viis selle turvalisuse tagamiseks on suunata raha pangajärelevalvele, kus see ajutiselt hoitakse, kuni nad tema kontot tagavad.

Hirmunud, et tema raskelt teenitud säästud varastatakse, ütles Mullenaux, et ta oli telefoniga ligi kolm tundi, järgis kõiki talle antud juhiseid ja vastas täiendavatele turvaküsimustele, mida talt küsiti. 

CNBC on üle vaadanud Mullenaux' mobiilsidekirjed, pangakonto andmed, samuti talle saadetud tekstisõnumi ja lingi pildid.

Mullenaux, kes on õhuniiskuse filtreeritud veeks muundava tehnoloogiaettevõtte Aquaphant leiutaja ja asutaja, ei teadnud, et telefonikõneleja kuulus keerukasse küberkurjategijate meeskonda.

Samal ajal kui Mullenaux rääkis selle võltspettuste osakonna esindajaga, kehastas teine ​​pettur Mullenaux'na teise telefonikõne ajal Chase'iga, et anda volitused pangaülekannete tegemiseks. Kõik vastused Mullenaux'lt küsitud turvaküsimustele söödeti seejärel teisele petturile. See võimaldas petturitel anda õigeid vastuseid ja veenda Chase'i töötajat, et nad rääkisid kontoomanikuga.

Pettus töötas. Kui Chase'i töötaja oli veendunud, et Mullenaux helistas, et lubada kolm pangaülekannet, kadus tema pangakontolt üle 120,000 XNUMX dollari ja vaatamata tema parimatele pingutustele pole sellest midagi tagasi saadud. 

Avalduses CNBC-le ütles a tagaajamine pressiesindaja ütles: "Pangad ei palu kunagi tarbijatel ega ettevõtetel pettuste vältimiseks endale või kellelegi teisele raha saata, kuid petturid seda teevad. Kinnitamaks, et räägite Chase'iga tõesti, helistage oma kaardi tagaküljel olevale numbrile või külastage esindust.

Mullenaux ütles, et tunneb end varastatud raha tagasisaamise kogemusest pettunud ja lüüa saanud.

"Ükskõik, mida nad klientide kaitsmiseks ka ei teeks, on petturid alati sammu võrra ees," ütles Mullenaux ja lisas, et tema raha oleks kingakarbis turvalisem kui suures pangas, mida küberkurjategijad sihivad.

Föderaalne kaubanduskomisjon soovitab kõigil klientidel, kes arvavad, et nad võisid petturitele pangaülekandega raha saata, viivitamatult ühendust võtta oma pangaga, teatada petturlikust ülekandest ja paluda see tühistada.

FTC ütles CNBC-le, et aeg on kriitilise tähtsusega, kui üritatakse petturliku pangaülekandega saadetud raha tagasi saada. Agentuur ütles, et ohvrid peaksid võimalusel samal või järgmisel päeval kuriteost teatama ka agentuurile ja FBI Interneti-kuritegevuse kaebuste keskusele. 

Mullenaux ütles, et sai järgmisel hommikul aru, et midagi on valesti, kui raha polnud tema kontole tagastatud.

Ta sõitis kohe oma kohalikku Chase'i pangakontorisse, kus talle öeldi, et ta oli tõenäoliselt pettuse ohver. Mullenaux ütles, et seda asja ei käsitletud kiireloomulise tundega ja vastupidise pangaülekande katset, mida FTC soovitab klientidel küsida, ei pakutud valikuna.

Selle asemel ütles Mullenaux, et filiaali töötaja ütles talle, et ta saab 10 päeva jooksul posti teel paki, mille ta saab nõude esitamiseks täita. Mullenaux küsis kohe paki järele. Ta täitis selle ja esitas samal päeval.

See väide ja teine ​​Mullenaux'i hagi, mis esitati täitevvõimule, lükati tagasi. Asja uurinud töötajad ütlesid, et Mullenaux helistas pangaülekannete lubamiseks.

CNBC edastas Chase'ile Mullenaux' mobiiltelefonide andmed, mis näitasid, et ta ei teinud kõnealusel päeval Chase'ile ühtegi väljaminevat telefonikõnet. Võrreldes pangaülekannete dokumentidega viitavad dokumendid ka sellele, et Mullenaux ei saanud olla see, kes helistas Chase'ile, et pangaülekannet lubada, sest kõik kolm olid volitatud ja läksid läbi ajal, mil Mullenaux oli endiselt petturitega telefoni teel.

See aga ei muutnud panga otsust ja jällegi lükati Mullenaux' nõue tagasi, kuna ta oli kurjategijatega jaganud oma isiklikku teavet.

Olenemata sellest, kas petturid said aru, et nad seda teevad või mitte, kasutasid nad edukalt ära kaks lünka kehtivates tarbijakaitseseadustes, mille tulemusel Chase'ilt ei nõutud Mullenaux' varastatud raha asendamist. Juriidiliselt ei pea pangad varastatud raha hüvitama, kui klient on pettusega küberkurjategijale raha saatma.

Elektroonilise rahaülekannete seaduse kohaselt, mis hõlmab enamikku elektroonilisi tehinguid, nagu vastastikused maksed ja võrgumaksed või ülekanded, on pangad kohustatud klientidele raha tagasi maksma, kui raha varastatakse ilma kliendi loata. Kahjuks ei ole seadusega hõlmatud pangaülekanded, millega kaasneb raha ülekandmine ühest pangast teise, mis ei hõlma ka pabertšekkide ja ettemaksukaartidega seotud pettusi.

Küberkurjategijad kandsid enne pangaülekannete algatamist raha Mullenaux isiklikelt tšeki- ja hoiukontodelt tema ettevõtte kontole. Määrus E, mille eesmärk on aidata tarbijatel volitamata tehingust saadud raha tagasi saada, kaitseb ainult üksikisikuid, mitte ettevõtete kontosid.

Chase'i esindaja ütles, et uurimine käib, kuna pank püüab varastatud raha tagasi saada.

Mullenaux ütleb, et ta palvetab selle eest. "Ma palvetan, et selle tragöödiaga kuidagi lepitataks, et [panga] juhtkond näeks, mis minuga juhtus, ja et mu raha tagastataks."

Mullenaux on esitanud aruande ka kohalikule politseile ja FBI Interneti-kuritegevuse kaebuste keskusele, kuid kumbki pole temaga tema juhtumiga seoses ühendust võtnud.

Küberkurjategijad ei saa nende keerukate skeemidega ainult Chase'i kliente. Möödunud suvel avastas IronNet andmepüügi kui teenuse platvorm mis müüb valmis andmepüügikomplekte küberkurjategijatele, kes sihivad USA-s asuvaid ettevõtteid, sealhulgas panku. Kohandatavad komplektid võivad maksta nii vähe kui 50 dollarit kuus ja sisaldavad koodi, graafikat ja konfiguratsioonifaile, mis sarnanevad panga sisselogimislehtedega.

IronNeti ohuanalüüsi juht Joey Fitzpatrick ütles, et kuigi ta ei saa kindlalt väita, et just nii Mullenaux petta, on tema vastu suunatud rünnakul kõik tunnused, mille kohaselt ründajad kasutavad samu multimodaalseid tööriistu nagu andmepüügi. -teenuseplatvormid pakuvad.

Ta loodab, et "teenusena" tüüpi pakkumised saavad jätkuvalt haardejõudu, kuna komplektid mitte ainult ei langeta madala ja keskmise astme küberkurjategijate latti andmepüügikampaaniate loomisel, vaid võimaldavad ka kõrgema astme kurjategijatel keskenduda. ühes valdkonnas ning arendada keerukamaid taktikaid ja pahavara.

"Ainuüksi 10. aasta jaanuaris on andmepüügikomplektide kasutuselevõtt kasvanud 2023% võrra," ütles Fitzpatrick.

2022. aastal kasvas ettevõttes andmepüügihoiatuste ja -tuvastuste arv 45%.

Kuid see ei ole ainult tõusuteel esinevad andmepüügiskeemid, vaid kõik küberrünnakud. Check Pointi andmed näitasid, et 2022. aastal suurenes iganädalaste küberrünnakute arv finants-/pangandussektori vastu 52% võrreldes 2021. aasta rünnakutega.

"Küberrünnakute ja petuskeemide keerukus on viimase aasta jooksul märkimisväärselt kasvanud," ütles Check Pointi ohugrupi juht Sergey Shykevich. "Paljudel juhtudel ei tugine küberkurjategijad ainult andmepüügi/pahatahtlike meilide saatmisele ja ootamisele, kuni inimesed sellel klõpsavad, vaid kombineerivad seda telefonikõnede, MFA [mitmefaktoriline autentimine] väsimusrünnakute ja muuga."

Mõlemad küberjulgeolekueksperdid ütlesid, et pangad saavad klientide harimiseks rohkem ära teha. 

Shykevich ütles, et pangad peaksid investeerima paremasse ohuluuresse, mis suudab tuvastada ja blokeerida küberkurjategijate kasutatavaid meetodeid. Ta tõi näiteks sisselogimise võrdlemise inimese digitaalse sõrmejäljega, mis põhineb sellistel andmetel nagu konto kasutatav brauser, ekraani eraldusvõime või klaviatuuri keel.

Üks asi, milles Chase, föderaalametid ja küberjulgeolekueksperdid olid ühel meelel: kui klient saab oma pangast telefonikõne ja inimene hakkab infot küsima, katkestage toru ja helistage ise panka tagasi.

"Kui tarbija saab ootamatult kõne, teksti või e-kirja kelleltki, kes väidab end olevat tema pangast, ja teavitab teda probleemist, peaks tarbija telefonitoru katkestama (või kustutama teksti/e-kirja ja mitte klõpsama linke) ja proovige helistada oma panka telefoninumbril, mille kohta nad teavad, et see on õige," ütles FTC pressiesindaja.

Küberkurjategijatel on võimalus helistaja ID-d võltsida ja nad võivad kasutada varastatud isikuandmeid, et petta ohvrit raha üle andma.

Saatke näpunäiteid e-posti aadressile [meiliga kaitstud]