Наборы «фишинг как услуга» способствуют росту краж: история одного владельца бизнеса

Банки тратят огромные средства на кибербезопасность и обнаружение мошенничества, но что происходит, когда преступная тактика достаточно изощренна, чтобы обмануть даже банковских служащих? 

Для Коди Маллено это означало, что с его расчетного счета в Чейзе было переведено более 120,000 XNUMX долларов, и у него почти не было надежды когда-либо вернуть украденные средства.

Сага о Мулленоксе, 40-летнем владельце малого бизнеса из Калифорнии, началась 19 декабря. Когда он делал рождественские покупки для своей маленькой дочери, ему позвонил человек, представившийся сотрудником отдела мошенничества Chase, и попросивший проверить подозрительная сделка.

Номер 800 совпадал со службой поддержки клиентов Chase, поэтому Маллено не подумал, что это подозрительно, когда человек попросил его войти в свою учетную запись через защищенную ссылку, отправленную в текстовом сообщении для целей идентификации. Ссылка выглядела законной, а открывшийся веб-сайт был идентичен его банковскому приложению Chase, поэтому он вошел в систему. 

«Мне даже в голову не приходило, что я разговаривал не с законным представителем Chase», — сказал Мулленокс CNBC.

Прошли те времена, когда потребитель должен был опасаться только подозрительного электронного письма или ссылки. Тактика киберпреступников превратилась в многосторонние схемы, в которых несколько преступников действуют как команда, чтобы использовать сложные тактики с использованием готового программного обеспечения, продаваемого в наборах, которые маскируют телефонные номера и имитируют страницы входа в банк жертвы. Это широко распространенная угроза, которая, по словам экспертов по кибербезопасности, вызывает всплеск активности. Они прогнозируют, что дальше будет только хуже. К сожалению, для жертвы этих схем банк не всегда обязан возвращать украденные средства.

После того, как он вошел в систему, Маллено сказал, что видел большие суммы денег, перемещающиеся между его счетами. Человек по телефону сказал ему, что кто-то находится на его счету и активно пытается украсть его деньги, и что единственный способ сохранить их в безопасности — это перевести деньги начальнику банка, где они будут временно храниться, пока они не обезопасят его счет.

В ужасе от того, что его с трудом заработанные сбережения вот-вот украдут, Мюллено сказал, что оставался на телефоне почти три часа, выполнял все инструкции, которые ему давали, и отвечал на дополнительные контрольные вопросы, которые ему задавали. 

CNBC просмотрел записи сотовых телефонов Маллено, информацию о банковском счете, а также изображения текстового сообщения и ссылку, которую он отправил.

Чего Мулленокс, изобретатель и основатель Aquaphant, технологической компании, которая преобразовывает влагу из воздуха в фильтрованную воду, не знал, так это того, что человек по телефону был частью сложной команды киберпреступников.

Пока Мюллено разговаривал с этим фальшивым представителем отдела по борьбе с мошенничеством, второй мошенник выдавал себя за Мулленокса во время другого телефонного разговора с Чейзом, чтобы авторизовать банковские переводы. Все ответы на секретные вопросы, которые задавал Мулленокс, затем передавались второму мошеннику. Это позволило мошенникам дать правильные ответы и убедить сотрудника Chase, что они разговаривают с владельцем счета.

Обман сработал. Как только сотрудник Chase убедился, что именно Маллено звонил, чтобы разрешить три банковских перевода, более 120,000 XNUMX долларов исчезли с его банковского счета, и, несмотря на все его усилия, ни одна из них не была возмещена. 

В заявлении для CNBC погоня Представитель сказал: «Банки никогда не будут просить потребителей или предприятия отправлять деньги себе или кому-либо еще, чтобы предотвратить мошенничество, но мошенники будут. Чтобы убедиться, что вы действительно разговариваете с Чейзом, позвоните по номеру, указанному на обратной стороне вашей карты, или посетите отделение».

Мюллено сказал, что он чувствует себя разочарованным и побежденным из-за того, что пытался вернуть украденные средства.

«Независимо от того, что они делают, чтобы защитить клиентов, мошенники всегда на шаг впереди», — сказал Мюллено, добавив, что его деньги были бы в большей безопасности в коробке из-под обуви, чем в большом банке, на который нацелены киберпреступники.

Федеральная торговая комиссия рекомендует, чтобы любой клиент, который считает, что он мог отправить деньги мошенникам посредством банковского перевода, должен немедленно связаться со своим банком, сообщить о мошенническом переводе и попросить отменить его.

Время имеет решающее значение при попытке вернуть средства, отправленные мошенническим банковским переводом, сообщила CNBC FTC. Агентство заявило, что жертвы также должны сообщить о преступлении в агентство, а также в Центр жалоб на интернет-преступления ФБР в тот же день или на следующий день, если это возможно. 

Мюллено сказал, что понял, что что-то не так на следующее утро, когда его средства не были возвращены на его счет.

Он немедленно поехал в местное отделение банка Chase, где ему сказали, что он, вероятно, стал жертвой мошенничества. Мюллено сказал, что этот вопрос не рассматривался в срочном порядке, и попытка обратного банковского перевода, о которой FTC предлагает клиентам просить, не предлагалась в качестве варианта.

Вместо этого Муллено сказал, что сотрудник отделения сказал ему, что в течение 10 дней он получит по почте пакет, который он может заполнить, чтобы подать иск. Мюлленокс немедленно попросил пакет. Заполнил и отправил в тот же день.

Этот иск, а также второй иск, поданный Мюллено в исполнительную власть, были отклонены. Сотрудники, расследовавшие этот вопрос, заявили, что Маллено звонил, чтобы разрешить денежные переводы.

CNBC предоставила Чейзу записи сотового телефона Маллено, которые показали, что он никогда не делал исходящих телефонных звонков Чейзу в рассматриваемый день. Записи также предполагают, по сравнению с записями о телеграфных переводах, что это не мог быть Маллено, который позвонил Чейзу, чтобы разрешить телеграфные переводы, потому что все трое были авторизованы и прошли, пока Маллено все еще разговаривал по телефону с мошенниками.

Однако это не изменило решения банка, и снова в иске Мюллено было отказано, поскольку он поделился своей личной информацией с преступниками.

Осознавали ли мошенники, что они это делают, или нет, они успешно использовали две лазейки в действующем законодательстве о защите прав потребителей, в результате чего от Чейза не требовалось возмещать украденные средства Маллено. По закону банки не обязаны возмещать украденные средства, когда клиента обманом заставляют отправить деньги киберпреступнику.

Однако в соответствии с Законом об электронном переводе средств, который охватывает большинство типов электронных транзакций, таких как одноранговые платежи и онлайн-платежи или переводы, банки обязаны возмещать клиентам средства в случае кражи средств без разрешения клиента. К сожалению, телеграфные переводы, которые включают в себя перевод денег из одного банка в другой, не подпадают под действие закона, что также исключает мошенничество с использованием бумажных чеков и предоплаченных карт.

Киберпреступники также переводили средства с личных расчетных и сберегательных счетов Маллено на его бизнес-счет, прежде чем инициировать банковские переводы. Положение E, призванное помочь потребителям вернуть свои деньги в результате несанкционированной транзакции, защищает только физических лиц, а не корпоративные счета.

Представитель Chase заявил, что расследование продолжается, поскольку банк пытается вернуть украденные средства.

Это то, о чем, по словам Маллено, он молится. «Я молюсь, чтобы эта трагедия как-то примирилась, чтобы руководство [банка] увидело, что со мной случилось, и мои деньги были возвращены».

Мюллено также подавал отчеты в местную полицию и в Центр жалоб на интернет-преступления ФБР, но ни один из них не связался с ним по поводу его дела.

Киберпреступники используют эти изощренные схемы не только для клиентов Chase. Прошлым летом IronNet обнаружил платформа «фишинг как услуга» который продает готовые фишинговые наборы киберпреступникам, нацеленным на американские компании, включая банки. Настраиваемые комплекты могут стоить всего 50 долларов в месяц и включают в себя код, графику и файлы конфигурации, которые напоминают страницы входа в банк.

Джоуи Фитцпатрик, менеджер по анализу угроз в IronNet, сказал, что, хотя он не может с уверенностью сказать, что именно таким образом Мюллено был ограблен, «атака против него несет в себе все признаки злоумышленников, использующих те же мультимодальные инструменты, что и фишинговые атаки». Платформы «a-a-service» предоставляют».

Он ожидает, что предложения типа «как услуга» будут только набирать обороты, поскольку комплекты не только снижают планку для киберпреступников низкого и среднего уровня в создании фишинговых кампаний, но также позволяют преступникам более высокого уровня сосредоточиться на одной территории и разрабатывать более изощренные тактики и вредоносное ПО.

«Только в январе 10 года мы наблюдаем 2023-процентное увеличение числа развертываний фишинговых наборов», — сказал Фитцпатрик.

В 2022 году количество предупреждений и обнаружений фишинга увеличилось на 45%.

Но растет число не только фишинговых схем, но и кибератак. Данные Check Point показали, что в 2022 году число еженедельных кибератак на финансовый/банковский сектор увеличилось на 52% по сравнению с атаками в 2021 году.

«Сложность кибератак и схем мошенничества значительно возросла за последний год, — сказал Сергей Шикевич, менеджер группы угроз Check Point. «Теперь во многих случаях киберпреступники полагаются не только на отправку фишинговых/вредоносных электронных писем и ожидание того, что люди щелкнут по ним, но сочетают это с телефонными звонками, усталостными атаками MFA [многофакторной аутентификации] и многим другим».

Оба эксперта по кибербезопасности заявили, что банки могут делать больше для обучения клиентов. 

Шикевич сказал, что банки должны инвестировать в более качественную аналитику угроз, которая может обнаруживать и блокировать методы, используемые киберпреступниками. В качестве примера он привел сравнение логина с цифровым «отпечатком пальца» человека, который основан на таких данных, как браузер, используемый учетной записью, разрешение экрана или язык клавиатуры.

Был один момент, в котором Чейз, федеральные агентства и эксперты по кибербезопасности были согласны: если клиенту звонят из их банка и человек начинает запрашивать информацию, повесьте трубку и перезвоните в банк самостоятельно.

«Если потребитель неожиданно получает звонок, текстовое сообщение или электронное письмо от кого-либо, утверждающего, что он из их банка, предупреждая его о проблеме, потребитель должен повесить трубку (или удалить текст / электронное письмо и не нажимать на ссылки). и попробуйте позвонить в их банк по известному им номеру телефона», — сказал представитель FTC.

Киберпреступники могут подделать идентификатор вызывающего абонента и использовать украденную личную информацию, чтобы обманом заставить жертву передать деньги.

Пожалуйста, напишите советы по [электронная почта защищена]