Sady „phishing-as-a-service“ zvyšují počet krádeží: Příběh jednoho majitele firmy

Banky vynaložily obrovské částky na kybernetickou bezpečnost a odhalování podvodů, ale co se stane, když jsou kriminální taktiky dostatečně sofistikované, aby oklamaly i zaměstnance bank? 

Pro Codyho Mullenauxe to znamenalo mít více než 120,000 XNUMX dolarů odeslaných z jeho běžného účtu Chase s malou nadějí, že se mu ukradené prostředky někdy vrátí.

Sága pro Mullenauxe, 40letého majitele malého podniku z Kalifornie, začala 19. prosince. Během vánočních nákupů pro svou malou dceru mu zavolala osoba, která tvrdila, že je z oddělení podvodů Chase, a požádala o ověření podezřelou transakci.

Číslo 800 odpovídalo zákaznickému servisu Chase, takže Mullenaux nepovažoval za podezřelé, když ho osoba požádala, aby se přihlásil ke svému účtu prostřednictvím zabezpečeného odkazu zaslaného textovou zprávou pro účely identifikace. Odkaz vypadal legitimně a webová stránka, která se otevřela, vypadala identicky s jeho bankovní aplikací Chase, takže se přihlásil. 

"Nikdy mě ani nenapadlo, že bych nemluvil s legitimním zástupcem Chase," řekl Mullenaux CNBC.

Pryč jsou doby, kdy jedinou věcí, na kterou se spotřebitel musel mít na pozoru, byl podezřelý e-mail nebo odkaz. Taktika kyberzločinců se proměnila v mnohostranná schémata, kdy několik zločinců jednalo jako tým, aby nasadili sofistikované taktiky zahrnující hotový software prodávaný v sadách, které maskují telefonní čísla a napodobují přihlašovací stránky banky oběti. Je to všudypřítomná hrozba, o které odborníci na kybernetickou bezpečnost říkají, že zvyšuje aktivitu. Předpovídají, že to bude jen horší. Bohužel, pro oběť těchto schémat není banka vždy povinna splatit ukradené prostředky.

Poté, co byl přihlášen, Mullenaux řekl, že viděl, jak se mezi jeho účty přesouvají velké množství peněz. Osoba na telefonu mu řekla, že se někdo na jeho účtu aktivně snaží ukrást jeho peníze a že jediný způsob, jak je uchovat v bezpečí, je poslat peníze bankovnímu dohledu, kde budou dočasně zadrženy, zatímco oni zajistí jeho účet.

Vyděšený, že jeho těžce vydělané úspory budou brzy odcizeny, Mullenaux řekl, že zůstal na telefonu téměř tři hodiny, dodržel všechny pokyny, které dostal, a odpověděl na dodatečné bezpečnostní otázky, které mu byly položeny. 

CNBC zkontrolovala Mullenauxovy mobilní záznamy, informace o bankovním účtu a také obrázky textové zprávy a odkazu, který mu byl zaslán.

Mullenaux, který je vynálezcem a zakladatelem technologické společnosti Aquaphant, která přeměňuje vlhkost ze vzduchu na filtrovanou vodu, nevěděl, že osoba na telefonu byla součástí sofistikovaného týmu kyberzločinců.

Zatímco Mullenaux mluvil s tímto falešným zástupcem oddělení podvodů, druhý podvodník se vydával za Mullenauxe při dalším telefonátu s Chasem, aby povolil bankovní převody. Všechny odpovědi na bezpečnostní otázky, které Mullenaux položil, byly poté předány druhému podvodníkovi. To umožnilo podvodníkům poskytnout správné odpovědi a přesvědčit zaměstnance Chase, že mluvili s majitelem účtu.

Podvod zafungoval. Jakmile byl zaměstnanec Chase přesvědčen, že to byl Mullenaux, kdo volal, aby povolil tři bankovní převody, z jeho bankovního účtu zmizelo přes 120,000 XNUMX dolarů a přes jeho nejlepší úsilí se nic z toho nepodařilo získat zpět. 

V prohlášení pro CNBC, a honička mluvčí řekl: "Banky nikdy nebudou žádat spotřebitele nebo podniky, aby posílali peníze sobě nebo komukoli jinému, aby zabránily podvodům, ale podvodníci ano." Chcete-li si ověřit, že skutečně mluvíte s Chasem, zavolejte na číslo uvedené na zadní straně karty nebo navštivte pobočku.“

Mullenaux řekl, že se cítí frustrovaný a poražený ze své zkušenosti se snahou získat zpět své ukradené prostředky.

"Bez ohledu na to, co dělají, aby ochránili zákazníky, jsou podvodníci vždy o krok napřed," řekl Mullenaux a dodal, že jeho peníze by byly bezpečnější v krabici od bot než ve velké bance, na kterou se kyberzločinci zaměřují.

Federální obchodní komise doporučuje, aby každý zákazník, který se domnívá, že mohl poslat peníze podvodníkům prostřednictvím bankovního převodu, okamžitě kontaktovat svou banku, nahlásit podvodný převod a požádat o jeho zrušení.

Čas je kritický, když se pokoušíte získat zpět prostředky zaslané podvodným bankovním převodem, řekl FTC CNBC. Agentura uvedla, že oběti by také měly nahlásit zločin agentuře a také Centru pro stížnosti na internetovou kriminalitu FBI, a to tentýž den nebo další den, pokud je to možné. 

Mullenaux řekl, že si druhý den ráno uvědomil, že něco není v pořádku, když mu peníze nebyly vráceny na jeho účet.

Okamžitě jel do své místní pobočky banky Chase, kde mu bylo řečeno, že se pravděpodobně stal obětí podvodu. Mullenaux řekl, že tato záležitost nebyla řešena s žádným pocitem naléhavosti a pokus o zpětný bankovní převod, o který FTC navrhuje, aby zákazníci požadovali, nebyl nabídnut jako možnost.

Místo toho Mullenaux řekl, že mu zaměstnanec pobočky řekl, že do 10 dnů obdrží poštou balíček, který může vyplnit a podat reklamaci. Mullenaux okamžitě požádal o balíček. Ten vyplnil a téhož dne odevzdal.

Toto tvrzení, spolu s druhým, který Mullenaux podal u výkonné moci, byly zamítnuty. Zaměstnanci, kteří záležitost vyšetřují, uvedli, že Mullenaux volal, aby povolil bankovní převody.

CNBC poskytla Chasovi záznamy o Mullenauxových mobilních telefonech, které ukázaly, že v daný den nikdy Chaseovi netelefonoval. Záznamy také naznačují, ve srovnání se záznamy o bankovních převodech, že to nemohl být Mullenaux, kdo zavolal Chase, aby schválil bankovní převody, protože všechny tři byly autorizovány a prošly, když Mullenaux stále telefonoval s podvodníky.

To však rozhodnutí banky nezměnilo a Mullenauxovo tvrzení bylo opět zamítnuto, protože sdílel své soukromé informace se zločinci.

Ať už si podvodníci uvědomili, že to dělají, nebo ne, úspěšně využili dvou mezer v současné legislativě na ochranu spotřebitele, které vedly k tomu, že Chase nemusel nahradit ukradené prostředky Mullenaux. Banky ze zákona nemusejí proplácet odcizené prostředky, když je zákazník oklamán, aby poslal peníze kyberzločinci.

Podle zákona o elektronickém převodu peněz, který pokrývá většinu typů elektronických transakcí, jako jsou platby peer-to-peer a online platby nebo převody, jsou však banky povinny vrátit zákazníkům peníze, když jsou prostředky odcizeny, aniž by to zákazník povolil. Na bankovní převody, které zahrnují převod peněz z jedné banky do druhé, se bohužel zákon nevztahuje, což rovněž vylučuje podvody týkající se papírových šeků a předplacených karet.

Kyberzločinci také před zahájením bankovních převodů převedli finanční prostředky z Mullenauxových osobních šekových a spořicích účtů na jeho podnikatelský účet. Nařízení E, které má spotřebitelům pomoci získat peníze zpět z neoprávněné transakce, chrání pouze jednotlivce, nikoli obchodní účty.

Zástupce Chase řekl, že vyšetřování pokračuje, protože banka se snaží získat zpět ukradené prostředky.

Mullenaux říká, že za to se modlí. "Modlím se, aby tato tragédie byla nějak usmířena, aby vedení [banky] vidělo, co se mi stalo, a moje peníze byly vráceny."

Mullenaux také podal hlášení místní policii a Centru pro stížnosti na internetovou kriminalitu FBI, ale ani jeden ho ohledně jeho případu nekontaktoval.

Nejsou to jen zákazníci Chase, na které se kyberzločinci zaměřují pomocí těchto sofistikovaných schémat. Letos v létě IronNet odhalil platforma „phishing-as-a-service“. která prodává hotové phishingové sady kyberzločincům, kteří se zaměřují na společnosti se sídlem v USA, včetně bank. Přizpůsobitelné sady mohou stát pouhých 50 USD měsíčně a zahrnují kód, grafiku a konfigurační soubory, které připomínají přihlašovací stránky banky.

Joey Fitzpatrick, manažer analýzy hrozeb v IronNet, řekl, že i když nemůže s jistotou říci, že takto byl Mullenaux podveden, „útok proti němu nese všechny znaky útočníků využívajících stejný druh multimodálních nástrojů jako phishing. -platformy služby poskytují.“

Očekává, že nabídky typu „as-a-service“ se budou nadále prosazovat, protože sady nejen snižují laťku pro kyberzločince nízké až střední úrovně při vytváření phishingových kampaní, ale také umožňují zločincům vyšší úrovně soustředit se na jediné oblasti a vyvíjet sofistikovanější taktiky a malware.

„Jen v lednu 10 jsme zaznamenali 2023% nárůst nasazení phishingových sad,“ řekl Fitzpatrick.

V roce 2022 společnost zaznamenala 45% nárůst phishingových upozornění a detekcí.

Ale nejsou to jen phishingová schémata na vzestupu, jsou to všechno kybernetické útoky. Údaje z Check Point ukázaly, že v roce 2022 došlo k 52% nárůstu týdenních kybernetických útoků na finanční/bankovní sektor ve srovnání s útoky v roce 2021.

„Sofistikovanost kybernetických útoků a podvodných schémat se během posledního roku výrazně zvýšila,“ řekl Sergey Shykevich, manažer skupiny hrozeb ve společnosti Check Point. „Nyní se kyberzločinci v mnoha případech nespoléhají pouze na odesílání phishingových/škodlivých e-mailů a čekají, až na ně lidé kliknou, ale kombinují to s telefonními hovory, únavovými útoky MFA [multifaktorové ověřování] a dalšími.“

Oba odborníci na kybernetickou bezpečnost uvedli, že banky mohou udělat více pro vzdělávání zákazníků. 

Shykevich řekl, že banky by měly investovat do lepšího zpravodajství o hrozbách, které dokáže detekovat a blokovat metody, které kyberzločinci používají. Příkladem, který uvedl, je srovnání přihlášení s digitálním „otiskem prstu“ osoby, který je založen na datech, jako je prohlížeč, který účet používá, rozlišení obrazovky nebo jazyk klávesnice.

Chase, federální agentury a odborníci na kybernetickou bezpečnost se shodli na jedné věci: pokud zákazníkovi zavolá jejich banka a dotyčný začne žádat o informace, zavěste a zavolejte do banky zpět sami.

„Pokud spotřebitel dostane z ničeho nic hovor, SMS nebo e-mail od kohokoli, kdo tvrdí, že je z jeho banky, a upozorní ho na problém, spotřebitel by měl zavěsit (nebo smazat text/e-mail a neklikat na odkazy) a zkuste zavolat jejich bance na telefonní číslo, o kterém ví, že je skutečné,“ řekl mluvčí FTC.

Kyberzločinci mají možnost zfalšovat ID volajícího a mohou použít odcizené osobní údaje k tomu, aby přiměli oběť k předání peněz.

Pošlete nám e-mailem tipy [chráněno e-mailem]