Комплектите „фишинг като услуга“ увеличават кражбите: Историята на един собственик на бизнес

Банките са похарчили огромни суми за киберсигурност и откриване на измами, но какво се случва, когато престъпните тактики са достатъчно сложни, за да заблудят дори банковите служители? 

За Cody Mullenaux това означаваше да има повече от 120,000 XNUMX долара, преведени от неговата чекова сметка в Chase с малка надежда някога да възстанови откраднатите си средства.

Сагата за Mullenaux, 40-годишен собственик на малък бизнес от Калифорния, започна на 19 декември. Докато пазаруваше за малката си дъщеря за Коледа, той получи обаждане от човек, който твърди, че е от отдела за измами на Chase и иска да потвърди подозрителна сделка.

Номерът от 800 съвпада с обслужването на клиенти на Chase, така че Mullenaux не смяташе, че е подозрително, когато лицето го помоли да влезе в акаунта си чрез защитена връзка, изпратена чрез текстово съобщение за целите на идентификацията. Връзката изглеждаше легитимна и уебсайтът, който се отвори, изглеждаше идентичен с неговото банково приложение Chase, така че той влезе. 

„Никога дори не ми е минавало през ума, че не говоря с легитимен представител на Chase“, каза Mullenaux пред CNBC.

Отминаха дните, когато единственото нещо, от което потребителят трябваше да внимава, беше подозрителен имейл или връзка. Тактиките на киберпрестъпниците се превърнаха в многостранни схеми, като множество престъпници действат като екип за внедряване на сложни тактики, включващи готов софтуер, продаван в комплекти, които маскират телефонни номера и имитират страници за вход на банката на жертвата. Това е всеобхватна заплаха, която според експертите по киберсигурност води до повишаване на активността. Те прогнозират, че ще става още по-зле. За съжаление, за жертвите на тези схеми банката не винаги е длъжна да върне откраднатите средства.

След като влезе в системата, Mullenaux каза, че е видял големи суми пари да се движат между неговите сметки. Човекът по телефона му каза, че някой има в сметката му и активно се опитва да открадне парите му и че единственият начин да ги запази е да преведе парите на банковия надзорник, където ще бъдат временно задържани, докато осигурят сметката му.

Ужасен, че трудно спечелените му спестявания ще бъдат откраднати, Mullenaux каза, че е останал на телефона близо три часа, изпълнил е всички инструкции, които е получил, и е отговорил на допълнителни въпроси за сигурност, които са му били зададени. 

CNBC прегледа клетъчните записи на Mullenaux, информацията за банковата сметка, както и изображения на текстовото съобщение и връзката, които му бяха изпратени.

Това, което Mullenaux, който е изобретател и основател на Aquaphant, технологична компания, която преобразува влагата от въздуха във филтрирана вода, не знаеше, че човекът на телефона е част от сложен екип от киберпрестъпници.

Докато Mullenaux разговаря с този фалшив представител на отдела за измами, втори измамник се представяше за Mullenaux при друг телефонен разговор с Chase, за да разреши банковите преводи. Всички отговори на въпросите за сигурност, зададени на Mullenaux, след това се подават на втория измамник. Това позволи на измамниците да дадат правилните отговори и да убедят служителя на Chase, че говорят с титуляра на акаунта.

Измамата проработи. След като служителят на Chase е убеден, че Mullenaux е този, който се обажда, за да разреши трите банкови превода, над $120,000 XNUMX изчезват от банковата му сметка и въпреки всичките му усилия нищо от тях не е възстановено. 

В изявление за CNBC, a гонитба Говорителят каза: „Банките никога няма да искат от потребителите или фирмите да изпращат пари на себе си или на някой друг, за да предотвратят измами, но измамниците ще го направят. За да потвърдите, че наистина говорите с Chase, обадете се на номера на гърба на картата си или посетете клон.

Mullenaux каза, че се чувства разочарован и победен от опита си, опитвайки се да възстанови откраднатите си средства.

„Без значение какво правят, за да се опитат да защитят клиентите, измамниците винаги са една крачка напред“, каза Mullenaux, добавяйки, че парите му биха били по-сигурни в кутия за обувки, отколкото в голяма банка, към която киберпрестъпниците се прицелват.

Федералната търговска комисия съветва всеки клиент, който мисли, че може да е изпратил пари на измамници чрез банков превод, незабавно да се свърже с банката си, да докладва за измамния превод и да поиска той да бъде отменен.

Времето е критично, когато се опитвате да възстановите средства, изпратени чрез измамен банков превод, каза FTC пред CNBC. Агенцията каза, че жертвите също трябва да докладват за престъплението на агенцията, както и на Центъра за жалби за интернет престъпления на ФБР, същия ден или на следващия ден, ако е възможно. 

Mullenaux каза, че е разбрал, че нещо не е наред на следващата сутрин, когато средствата му не са били върнати в сметката му.

Той незабавно отишъл с колата до местния банков клон на Chase, където му казали, че вероятно е станал жертва на измама. Mullenaux каза, че въпросът не е бил разгледан с чувство за спешност и опит за обратен банков превод, който FTC предлага на клиентите да поискат, не е бил предложен като опция.

Вместо това Mullenaux каза, че служителят на клона му е казал, че ще получи пакет по пощата в рамките на 10 дни, който може да попълни, за да подаде иск. Mullenaux веднага поиска пакета. Той го попълни и го изпрати същия ден.

Това твърдение, заедно с второ, подадено от Mullenaux до изпълнителната власт, бяха отхвърлени. Служителите, разследващи случая, казаха, че Mullenaux се е обадил, за да разреши банковите преводи.

CNBC предостави на Chase записите на клетъчните телефони на Mullenaux, които показват, че той никога не е извършвал никакви изходящи телефонни обаждания до Chase през въпросния ден. Записите също предполагат, в сравнение със записите за банкови преводи, че не може Mullenaux да е бил този, който се е обадил на Chase, за да разреши банковите преводи, тъй като и тримата са били упълномощени и са преминали, докато Mullenaux все още е говорил по телефона с измамниците.

Това обаче не промени решението на банката и отново искът на Mullenaux беше отхвърлен, тъй като той сподели личната си информация с престъпниците.

Независимо дали измамниците са разбрали, че го правят или не, те успешно са използвали две вратички в действащото законодателство за защита на потребителите, което е довело до това, че Chase не е задължен да замени откраднатите средства на Mullenaux. По закон банките не трябва да възстановяват откраднати средства, когато клиент е подмамен да изпрати пари на киберпрестъпник.

Съгласно Закона за електронния превод на средства обаче, който обхваща повечето видове електронни транзакции като плащания от типа peer-to-peer и онлайн плащания или преводи, банките са длъжни да изплащат на клиентите, когато средствата са откраднати, без клиентът да е разрешил това. За съжаление, банковите преводи, които включват прехвърляне на пари от една банка в друга, не са обхванати от закона, който също така изключва измами, включващи хартиени чекове и предплатени карти.

Киберпрестъпниците също прехвърлят средства от личните разплащателни и спестовни сметки на Mullenaux към неговата бизнес сметка, преди да започнат банковите преводи. Разпоредба E, която е предназначена да помогне на потребителите да получат парите си обратно от неоторизирана транзакция, защитава само физически лица, а не бизнес сметки.

Представител на Chase каза, че разследването продължава, докато банката се опитва да възстанови откраднатите средства.

Това е нещо, за което Mullenaux казва, че се моли. „Моля се тази трагедия да бъде помирена по някакъв начин, ръководството на [банката] да види какво се случи с мен и парите ми да бъдат върнати.“

Mullenaux също е подал сигнали до местната полиция и Центъра за жалби за интернет престъпления на ФБР, но нито една от тях не се е свързала с него относно неговия случай.

Не само клиентите на Chase са насочени към киберпрестъпниците с тези сложни схеми. През миналото лято IronNet разкри платформа „фишинг като услуга“. който продава готови комплекти за фишинг на киберпрестъпници, насочени към базирани в САЩ компании, включително банки. Приспособимите комплекти могат да струват само $50 на месец и включват код, графики и конфигурационни файлове, за да приличат на страници за влизане в банката.

Джоуи Фицпатрик, мениджър анализ на заплахи в IronNet, каза, че въпреки че не може да каже със сигурност, че това е начинът, по който Mullenaux е бил измамен, „атаката срещу него носи всички отличителни белези на нападатели, използващи същия вид мултимодални инструменти като фишинг-както - предоставят платформи за услуга.“

Той очаква, че предложенията от типа „като услуга“ ще продължат да набират популярност, тъй като комплектите не само намаляват летвата за киберпрестъпниците от ниско до средно ниво да създават фишинг кампании, но също така позволява на престъпниците от по-високо ниво да се съсредоточат върху една област и разработване на по-сложни тактики и зловреден софтуер.

„Само през януари 10 г. видяхме 2023% увеличение на внедряването на комплекти за фишинг“, каза Фицпатрик.

През 2022 г. компанията отбеляза 45% увеличение на сигналите за фишинг и откриванията.

Но нарастват не само схемите за фишинг, но и всички кибератаки. Данните от Check Point показват, че през 2022 г. е имало 52% увеличение на седмичните кибератаки срещу финансовия/банковия сектор в сравнение с атаките през 2021 г.

„Сложността на кибератаките и схемите за измами се увеличи значително през последната година“, каза Сергей Шикевич, мениджър на групата за заплахи в Check Point. „Сега в много случаи киберпрестъпниците не разчитат само на изпращане на фишинг/злонамерени имейли и изчакване хората да кликнат върху тях, но го комбинират с телефонни обаждания, MFA [многофакторно удостоверяване] атаки за умора и други.“

И двамата експерти по киберсигурност казаха, че банките могат да направят повече, за да образоват клиентите. 

Шикевич каза, че банките трябва да инвестират в по-добро разузнаване на заплахи, което може да открива и блокира методите, използвани от киберпрестъпниците. Пример, който той даде, е сравняването на влизане с цифровия „пръстов отпечатък“ на човек, който се основава на данни като браузъра, който акаунтът използва, разделителна способност на екрана или език на клавиатурата.

Имаше едно нещо, за което Чейс, федералните агенции и експертите по киберсигурност бяха съгласни: ако клиент получи телефонно обаждане от своята банка и лицето започне да иска информация, затворете и сами се обадете на банката.

„Ако потребител неочаквано получи обаждане, текстово съобщение или имейл от всеки, който твърди, че е от неговата банка, предупреждавайки го за проблем, потребителят трябва да затвори (или да изтрие текста/имейла и да не кликва върху връзки) и се опитайте да се обадите на тяхната банка на телефонен номер, за който знаят, че е истински“, каза говорител на FTC.

Киберпрестъпниците имат способността да подправят идентификацията на обаждащия се и могат да използват открадната лична информация, за да подмамят жертвата да предаде пари.

Моля, изпратете имейл съвети до [имейл защитен]