Súpravy „phishing-as-a-service“ zvyšujú počet krádeží: Príbeh jedného majiteľa firmy

Banky minuli obrovské sumy na kybernetickú bezpečnosť a odhaľovanie podvodov, ale čo sa stane, keď sú kriminálne taktiky dostatočne sofistikované na to, aby oklamali aj zamestnancov bánk? 

Pre Codyho Mullenauxa to znamenalo mať viac ako 120,000 XNUMX dolárov prevedených z jeho bežného účtu Chase s malou nádejou, že sa mu niekedy vráti ukradnuté prostriedky.

Sága o Mullenauxovi, 40-ročnom majiteľovi malého podniku z Kalifornie, sa začala 19. decembra. Počas vianočných nákupov pre svoju malú dcéru mu zavolala osoba, ktorá tvrdila, že je z oddelenia podvodov Chase a žiadala overenie podozrivá transakcia.

Číslo 800 sa zhodovalo so zákazníckym servisom Chase, takže Mullenaux nepovažoval za podozrivé, keď ho osoba požiadala, aby sa prihlásil do svojho účtu prostredníctvom zabezpečeného odkazu zaslaného textovou správou na účely identifikácie. Odkaz vyzeral legitímne a webová stránka, ktorá sa otvorila, sa zdala identická s jeho bankovou aplikáciou Chase, takže sa prihlásil. 

"Nikdy mi ani nenapadlo, že som sa nerozprával s legitímnym zástupcom Chase," povedal Mullenaux pre CNBC.

Časy, keď si spotrebiteľ musel dávať pozor, bol podozrivý e-mail alebo odkaz. Taktika kyberzločincov sa zmenila na mnohostranné schémy, v ktorých viacero zločincov pôsobí ako tím na nasadenie sofistikovaných taktík zahŕňajúcich hotový softvér predávaný v súpravách, ktoré maskujú telefónne čísla a napodobňujú prihlasovacie stránky banky obete. Ide o všadeprítomnú hrozbu, o ktorej odborníci na kybernetickú bezpečnosť hovoria, že vedie k nárastu aktivity. Predpovedajú, že to bude len horšie. Žiaľ, v prípade obetí týchto schém nie je banka vždy povinná splatiť ukradnuté prostriedky.

Po prihlásení Mullenaux povedal, že videl, ako sa medzi jeho účtami presúvajú veľké sumy peňazí. Osoba na telefóne mu povedala, že sa niekto na jeho účte aktívne snaží ukradnúť jeho peniaze a že jediný spôsob, ako ich udržať v bezpečí, je poslať peniaze bankovému dozorcovi, kde budú dočasne zadržané, kým mu zaistia účet.

Mullenaux, vystrašený z toho, že jeho ťažko zarobené úspory sa chystajú ukradnúť, povedal, že zostal na telefóne takmer tri hodiny, postupoval podľa všetkých pokynov, ktoré dostal, a odpovedal na dodatočné bezpečnostné otázky, ktoré dostal. 

CNBC skontrolovala Mullenauxove mobilné záznamy, informácie o bankovom účte, ako aj obrázky textovej správy a odkazu, ktorý mu poslal.

Mullenaux, ktorý je vynálezcom a zakladateľom technologickej spoločnosti Aquaphant, ktorá premieňa vlhkosť zo vzduchu na filtrovanú vodu, nevedel, že osoba na telefóne bola súčasťou sofistikovaného tímu kyberzločincov.

Zatiaľ čo Mullenaux hovoril s týmto falošným zástupcom oddelenia podvodov, druhý podvodník sa vydával za Mullenauxa počas ďalšieho telefonátu s Chasom, aby povolil bankové prevody. Všetky odpovede na bezpečnostné otázky, ktoré Mullenaux položil, boli potom odovzdané druhému podvodníkovi. To umožnilo podvodníkom poskytnúť správne odpovede a presvedčiť zamestnanca Chase, že hovorili s majiteľom účtu.

Hoax fungoval. Akonáhle bol zamestnanec Chase presvedčený, že to bol Mullenaux, kto volal, aby povolil tri bankové prevody, z jeho bankového účtu zmizlo viac ako 120,000 XNUMX dolárov a napriek jeho maximálnemu úsiliu sa nič z toho nepodarilo získať späť. 

Vo vyhlásení pre CNBC, a naháňačka Hovorca povedal: „Banky nikdy nebudú žiadať spotrebiteľov ani firmy, aby posielali peniaze sebe alebo niekomu inému, aby zabránili podvodom, ale podvodníci áno. Ak chcete potvrdiť, že skutočne hovoríte s Chase, zavolajte na číslo uvedené na zadnej strane karty alebo navštívte pobočku.“

Mullenaux povedal, že sa cíti frustrovaný a porazený zo svojej skúsenosti so snahou získať späť svoje ukradnuté prostriedky.

„Bez ohľadu na to, čo robia, aby ochránili zákazníkov, podvodníci sú vždy o krok vpred,“ povedal Mullenaux a dodal, že jeho peniaze by boli bezpečnejšie v krabici od topánok ako vo veľkej banke, na ktorú sa kyberzločinci zameriavajú.

Federálna obchodná komisia odporúča, aby každý zákazník, ktorý si myslí, že mohol poslať peniaze podvodníkom prostredníctvom bankového prevodu, okamžite kontaktoval svoju banku, nahlásil podvodný prevod a požiadal o jeho zrušenie.

Čas je kritický pri pokuse získať späť prostriedky zaslané prostredníctvom podvodného bankového prevodu, uviedla FTC pre CNBC. Agentúra uviedla, že obete by tiež mali nahlásiť trestný čin agentúre, ako aj Centru sťažností na internetovú kriminalitu FBI, v ten istý deň alebo nasledujúci deň, ak je to možné. 

Mullenaux povedal, že si uvedomil, že niečo nie je v poriadku nasledujúce ráno, keď mu peniaze neboli vrátené na účet.

Okamžite išiel do svojej miestnej pobočky banky Chase, kde mu povedali, že sa pravdepodobne stal obeťou podvodu. Mullenaux povedal, že táto záležitosť nebola riešená s nejakým pocitom naliehavosti a pokus o spätný bankový prevod, o ktorý FTC navrhuje, aby zákazníci žiadali, nebol ponúknutý ako možnosť.

Namiesto toho Mullenaux povedal, že zamestnanec pobočky mu povedal, že do 10 dní dostane poštou balík, ktorý môže vyplniť, aby podal nárok. Mullenaux okamžite požiadal o balíček. V ten istý deň ho vyplnil a odovzdal.

Toto tvrdenie, spolu s druhým tvrdením, ktoré Mullenaux podal na výkonnú moc, boli zamietnuté. Zamestnanci, ktorí záležitosť vyšetrujú, uviedli, že Mullenaux volal, aby povolil bankové prevody.

CNBC poskytla Chasovi záznamy mobilného telefónu Mullenauxa, ktoré ukázali, že v daný deň nikdy neuskutočnil žiadne odchádzajúce telefonáty Chasovi. Záznamy tiež naznačujú, v porovnaní so záznamami o bankových prevodoch, že to nemohol byť Mullenaux, kto zavolal Chaseovi, aby povolil bankové prevody, pretože všetky tri boli autorizované a prešli, kým Mullenaux stále telefonoval s podvodníkmi.

To však nezmenilo rozhodnutie banky a Mullenauxov nárok bol opäť zamietnutý, pretože sa podelil o svoje súkromné ​​informácie so zločincami.

Či už si podvodníci uvedomili, že to robia alebo nie, úspešne využili dve medzery v súčasných právnych predpisoch na ochranu spotrebiteľa, ktoré viedli k tomu, že Chase nemusel nahradiť ukradnuté prostriedky Mullenaux. Podľa zákona banky nemusia preplácať ukradnuté prostriedky, keď je zákazník oklamaný, aby poslal peniaze kyberzločincovi.

Podľa zákona o elektronickom prevode finančných prostriedkov, ktorý sa vzťahuje na väčšinu typov elektronických transakcií, ako sú platby typu peer-to-peer a online platby alebo prevody, sú však banky povinné vyplatiť zákazníkom peniaze v prípade odcudzenia finančných prostriedkov bez toho, aby to zákazník autorizoval. Žiaľ, bezhotovostné prevody, ktoré zahŕňajú prevod peňazí z jednej banky do druhej, nie sú pokryté zákonom, čo tiež vylučuje podvody týkajúce sa papierových šekov a predplatených kariet.

Kyberzločinci tiež previedli prostriedky z Mullenauxových osobných kontrolných a sporiacich účtov na jeho podnikateľský účet pred začatím bankových prevodov. Nariadenie E, ktoré má spotrebiteľom pomôcť získať peniaze späť z neoprávnenej transakcie, chráni iba jednotlivcov, nie podnikateľské účty.

Zástupca spoločnosti Chase uviedol, že vyšetrovanie pokračuje, pretože banka sa snaží získať ukradnuté prostriedky.

Mullenaux hovorí, že za to sa modlí. "Modlím sa, aby sa táto tragédia nejako zmierila, aby vedenie [banky] videlo, čo sa mi stalo, a aby mi vrátili peniaze."

Mullenaux podal správy aj miestnej polícii a Centru sťažností na internetové zločiny FBI, no ani jeden ho v súvislosti s jeho prípadom nekontaktoval.

Nie sú to len zákazníci Chase, na ktorých sa kyberzločinci zameriavajú pomocou týchto sofistikovaných schém. Minulé leto IronNet odhalil platforma „phishing-as-a-service“. ktorá predáva hotové phishingové súpravy kyberzločincom, ktorí sa zameriavajú na spoločnosti so sídlom v USA vrátane bánk. Prispôsobiteľné súpravy môžu stáť len 50 dolárov mesačne a obsahujú kód, grafiku a konfiguračné súbory, ktoré pripomínajú prihlasovacie stránky bánk.

Joey Fitzpatrick, manažér analýzy hrozieb v spoločnosti IronNet, povedal, že hoci nemôže s istotou povedať, že takto bol Mullenaux podvedený, „útok proti nemu nesie všetky znaky útočníkov využívajúcich rovnaký druh multimodálnych nástrojov ako phishing. -platformy služby poskytujú.“

Očakáva, že ponuky typu „ako služba“ sa budú naďalej presadzovať, pretože súpravy nielen znižujú latku pre kyberzločincov s nízkou až strednou úrovňou pri vytváraní phishingových kampaní, ale umožňujú aj zločincom vyššej úrovne zamerať sa na jednej oblasti a rozvíjať sofistikovanejšie taktiky a malvér.

„Len v januári 10 sme zaznamenali 2023 % nárast nasadzovania phishingových súprav,“ povedal Fitzpatrick.

V roku 2022 spoločnosť zaznamenala 45% nárast upozornení a detekcií phishingu.

Ale nie sú to len phishingové schémy na vzostupe, sú to všetko kybernetické útoky. Údaje z Check Point ukázali, že v roku 2022 došlo k 52 % nárastu týždenných kybernetických útokov na finančný/bankový sektor v porovnaní s útokmi v roku 2021.

„Sofistikovanosť kybernetických útokov a podvodných schém sa za posledný rok výrazne zvýšila,“ povedal Sergey Shykevich, manažér skupiny hrozieb v Check Point. „Teraz sa počítačoví zločinci v mnohých prípadoch nespoliehajú len na odosielanie phishingových/škodlivých e-mailov a čakanie, kým na ne ľudia kliknú, ale kombinujú to s telefonátmi, únavovými útokmi MFA [multifaktorové overovanie] a ďalšími.“

Obaja odborníci na kybernetickú bezpečnosť uviedli, že banky môžu urobiť viac pre vzdelávanie zákazníkov. 

Shykevich povedal, že banky by mali investovať do lepšieho spravodajstva o hrozbách, ktoré dokáže odhaliť a blokovať metódy, ktoré kyberzločinci používajú. Ako príklad uviedol porovnanie prihlásenia s digitálnym „odtlačkom prsta“ osoby, ktorý je založený na údajoch, ako je prehliadač, ktorý účet používa, rozlíšenie obrazovky alebo jazyk klávesnice.

Chase, federálne agentúry a experti na kybernetickú bezpečnosť sa zhodli na jednej veci: ak zákazníkovi zavolá ich banka a dotyčná osoba začne žiadať informácie, zaveste a zavolajte do banky späť sami.

„Ak spotrebiteľ dostane z ničoho nič hovor, textovú správu alebo e-mail od kohokoľvek, kto tvrdí, že je z ich banky, a upozorní ho na problém, spotrebiteľ by mal zavesiť (alebo odstrániť text/e-mail a neklikať na odkazy) a skúste zavolať ich banke na telefónne číslo, o ktorom vedia, že je skutočné,“ povedal hovorca FTC.

Kyberzločinci majú možnosť sfalšovať ID volajúceho a môžu použiť ukradnuté osobné informácie na oklamanie obete, aby im odovzdala peniaze.

Pošlite e-mailom tipy na adresu [chránené e-mailom]