Коди Маллено и его семья. Мюллено стал жертвой изощренной схемы мошенничества, в результате которой было украдено 120,000 XNUMX долларов.
Предоставлено: Коди Маллено
Банки тратят огромные средства на кибербезопасность и обнаружение мошенничества, но что происходит, когда преступная тактика достаточно изощренна, чтобы обмануть даже банковских служащих?
Для Коди Маллено это означало, что с его расчетного счета в Чейзе было переведено более 120,000 XNUMX долларов, и у него почти не было надежды когда-либо вернуть украденные средства.
Сага о Мулленоксе, 40-летнем владельце малого бизнеса из Калифорнии, началась 19 декабря. Когда он делал рождественские покупки для своей маленькой дочери, ему позвонил человек, представившийся сотрудником отдела мошенничества Chase, и попросивший проверить подозрительная сделка.
Номер 800 совпадал со службой поддержки клиентов Chase, поэтому Маллено не подумал, что это подозрительно, когда человек попросил его войти в свою учетную запись через защищенную ссылку, отправленную в текстовом сообщении для целей идентификации. Ссылка выглядела законной, а открывшийся веб-сайт был идентичен его банковскому приложению Chase, поэтому он вошел в систему.
«Мне даже в голову не приходило, что я разговаривал не с законным представителем Chase», — сказал Мулленокс CNBC.
Прошли те времена, когда потребитель должен был опасаться только подозрительного электронного письма или ссылки. Тактика киберпреступников превратилась в многосторонние схемы, в которых несколько преступников действуют как команда, чтобы использовать сложные тактики с использованием готового программного обеспечения, продаваемого в наборах, которые маскируют телефонные номера и имитируют страницы входа в банк жертвы. Это широко распространенная угроза, которая, по словам экспертов по кибербезопасности, вызывает всплеск активности. Они прогнозируют, что дальше будет только хуже. К сожалению, для жертвы этих схем банк не всегда обязан возвращать украденные средства.
После того, как он вошел в систему, Маллено сказал, что видел большие суммы денег, перемещающиеся между его счетами. Человек по телефону сказал ему, что кто-то находится на его счету и активно пытается украсть его деньги, и что единственный способ сохранить их в безопасности — это перевести деньги начальнику банка, где они будут временно храниться, пока они не обезопасят его счет.
В ужасе от того, что его с трудом заработанные сбережения вот-вот украдут, Мюллено сказал, что оставался на телефоне почти три часа, выполнял все инструкции, которые ему давали, и отвечал на дополнительные контрольные вопросы, которые ему задавали.
CNBC просмотрел записи сотовых телефонов Маллено, информацию о банковском счете, а также изображения текстового сообщения и ссылку, которую он отправил.
Команда мошенников
В заявлении для CNBC погоня Представитель сказал: «Банки никогда не будут просить потребителей или предприятия отправлять деньги себе или кому-либо еще, чтобы предотвратить мошенничество, но мошенники будут. Чтобы убедиться, что вы действительно разговариваете с Чейзом, позвоните по номеру, указанному на обратной стороне вашей карты, или посетите отделение».
Коди Маллено, изобретатель и основатель Aquaphant, технологической компании, которая превращает влагу из воздуха в фильтрованную воду, со своей командой и семьей.
Предоставлено: Коди Маллено
Небольшое обращение к жертвам мошенничества с использованием электронных средств
Мошенники воспользовались лазейками в законодательстве
Изощренные мошеннические тактики на подъеме
Киберпреступники используют эти изощренные схемы не только для клиентов Chase. Прошлым летом IronNet обнаружил платформа «фишинг как услуга» который продает готовые фишинговые наборы киберпреступникам, нацеленным на американские компании, включая банки. Настраиваемые комплекты могут стоить всего 50 долларов в месяц и включают в себя код, графику и файлы конфигурации, которые напоминают страницы входа в банк.
Джоуи Фитцпатрик, менеджер по анализу угроз в IronNet, сказал, что, хотя он не может с уверенностью сказать, что именно таким образом Мюллено был ограблен, «атака против него несет в себе все признаки злоумышленников, использующих те же мультимодальные инструменты, что и фишинговые атаки». Платформы «a-a-service» предоставляют».
Он ожидает, что предложения типа «как услуга» будут только набирать обороты, поскольку комплекты не только снижают планку для киберпреступников низкого и среднего уровня в создании фишинговых кампаний, но также позволяют преступникам более высокого уровня сосредоточиться на одной территории и разрабатывать более изощренные тактики и вредоносное ПО.
«Только в январе 10 года мы наблюдаем 2023-процентное увеличение числа развертываний фишинговых наборов», — сказал Фитцпатрик.
В 2022 году количество предупреждений и обнаружений фишинга увеличилось на 45%.
Но растет число не только фишинговых схем, но и кибератак. Данные Check Point показали, что в 2022 году число еженедельных кибератак на финансовый/банковский сектор увеличилось на 52% по сравнению с атаками в 2021 году.
«Сложность кибератак и схем мошенничества значительно возросла за последний год, — сказал Сергей Шикевич, менеджер группы угроз Check Point. «Теперь во многих случаях киберпреступники полагаются не только на отправку фишинговых/вредоносных электронных писем и ожидание того, что люди щелкнут по ним, но сочетают это с телефонными звонками, усталостными атаками MFA [многофакторной аутентификации] и многим другим».
Оба эксперта по кибербезопасности заявили, что банки могут делать больше для обучения клиентов.
Шикевич сказал, что банки должны инвестировать в более качественную аналитику угроз, которая может обнаруживать и блокировать методы, используемые киберпреступниками. В качестве примера он привел сравнение логина с цифровым «отпечатком пальца» человека, который основан на таких данных, как браузер, используемый учетной записью, разрешение экрана или язык клавиатуры.
Лучший совет: повесьте трубку
Источник: https://www.cnbc.com/2023/02/06/phishing-as-a-service-kits-drive-uptick-in-theft-one-business-owners-story.html.