Коди Мълено и семейството му. Mullenaux беше жертва на сложна схема за телена измама, която доведе до кражба на 120,000 XNUMX долара
С любезното съдействие: Cody Mullenaux
Банките са похарчили огромни суми за киберсигурност и откриване на измами, но какво се случва, когато престъпните тактики са достатъчно сложни, за да заблудят дори банковите служители?
За Cody Mullenaux това означаваше да има повече от 120,000 XNUMX долара, преведени от неговата чекова сметка в Chase с малка надежда някога да възстанови откраднатите си средства.
Сагата за Mullenaux, 40-годишен собственик на малък бизнес от Калифорния, започна на 19 декември. Докато пазаруваше за малката си дъщеря за Коледа, той получи обаждане от човек, който твърди, че е от отдела за измами на Chase и иска да потвърди подозрителна сделка.
Номерът от 800 съвпада с обслужването на клиенти на Chase, така че Mullenaux не смяташе, че е подозрително, когато лицето го помоли да влезе в акаунта си чрез защитена връзка, изпратена чрез текстово съобщение за целите на идентификацията. Връзката изглеждаше легитимна и уебсайтът, който се отвори, изглеждаше идентичен с неговото банково приложение Chase, така че той влезе.
„Никога дори не ми е минавало през ума, че не говоря с легитимен представител на Chase“, каза Mullenaux пред CNBC.
Отминаха дните, когато единственото нещо, от което потребителят трябваше да внимава, беше подозрителен имейл или връзка. Тактиките на киберпрестъпниците се превърнаха в многостранни схеми, като множество престъпници действат като екип за внедряване на сложни тактики, включващи готов софтуер, продаван в комплекти, които маскират телефонни номера и имитират страници за вход на банката на жертвата. Това е всеобхватна заплаха, която според експертите по киберсигурност води до повишаване на активността. Те прогнозират, че ще става още по-зле. За съжаление, за жертвите на тези схеми банката не винаги е длъжна да върне откраднатите средства.
След като влезе в системата, Mullenaux каза, че е видял големи суми пари да се движат между неговите сметки. Човекът по телефона му каза, че някой има в сметката му и активно се опитва да открадне парите му и че единственият начин да ги запази е да преведе парите на банковия надзорник, където ще бъдат временно задържани, докато осигурят сметката му.
Ужасен, че трудно спечелените му спестявания ще бъдат откраднати, Mullenaux каза, че е останал на телефона близо три часа, изпълнил е всички инструкции, които е получил, и е отговорил на допълнителни въпроси за сигурност, които са му били зададени.
CNBC прегледа клетъчните записи на Mullenaux, информацията за банковата сметка, както и изображения на текстовото съобщение и връзката, които му бяха изпратени.
Екип от измамници
В изявление за CNBC, a гонитба Говорителят каза: „Банките никога няма да искат от потребителите или фирмите да изпращат пари на себе си или на някой друг, за да предотвратят измами, но измамниците ще го направят. За да потвърдите, че наистина говорите с Chase, обадете се на номера на гърба на картата си или посетете клон.
Cody Mullenaux, изобретателят и основател на Aquaphant, технологична компания, която преобразува влагата от въздуха във филтрирана вода, със своя екип и семейство.
С любезното съдействие: Cody Mullenaux
Малко обезщетение за жертвите на телени измами
Измамниците се възползваха от регулаторни вратички
Усъвършенстваните тактики за измама се увеличават
Не само клиентите на Chase са насочени към киберпрестъпниците с тези сложни схеми. През миналото лято IronNet разкри платформа „фишинг като услуга“. който продава готови комплекти за фишинг на киберпрестъпници, насочени към базирани в САЩ компании, включително банки. Приспособимите комплекти могат да струват само $50 на месец и включват код, графики и конфигурационни файлове, за да приличат на страници за влизане в банката.
Джоуи Фицпатрик, мениджър анализ на заплахи в IronNet, каза, че въпреки че не може да каже със сигурност, че това е начинът, по който Mullenaux е бил измамен, „атаката срещу него носи всички отличителни белези на нападатели, използващи същия вид мултимодални инструменти като фишинг-както - предоставят платформи за услуга.“
Той очаква, че предложенията от типа „като услуга“ ще продължат да набират популярност, тъй като комплектите не само намаляват летвата за киберпрестъпниците от ниско до средно ниво да създават фишинг кампании, но също така позволява на престъпниците от по-високо ниво да се съсредоточат върху една област и разработване на по-сложни тактики и зловреден софтуер.
„Само през януари 10 г. видяхме 2023% увеличение на внедряването на комплекти за фишинг“, каза Фицпатрик.
През 2022 г. компанията отбеляза 45% увеличение на сигналите за фишинг и откриванията.
Но нарастват не само схемите за фишинг, но и всички кибератаки. Данните от Check Point показват, че през 2022 г. е имало 52% увеличение на седмичните кибератаки срещу финансовия/банковия сектор в сравнение с атаките през 2021 г.
„Сложността на кибератаките и схемите за измами се увеличи значително през последната година“, каза Сергей Шикевич, мениджър на групата за заплахи в Check Point. „Сега в много случаи киберпрестъпниците не разчитат само на изпращане на фишинг/злонамерени имейли и изчакване хората да кликнат върху тях, но го комбинират с телефонни обаждания, MFA [многофакторно удостоверяване] атаки за умора и други.“
И двамата експерти по киберсигурност казаха, че банките могат да направят повече, за да образоват клиентите.
Шикевич каза, че банките трябва да инвестират в по-добро разузнаване на заплахи, което може да открива и блокира методите, използвани от киберпрестъпниците. Пример, който той даде, е сравняването на влизане с цифровия „пръстов отпечатък“ на човек, който се основава на данни като браузъра, който акаунтът използва, разделителна способност на екрана или език на клавиатурата.
Най-добър съвет: Затворете телефона
Източник: https://www.cnbc.com/2023/02/06/phishing-as-a-service-kits-drive-uptick-in-theft-one-business-owners-story.html