Sukčiavimo kaip paslaugos rinkiniai skatina vagysčių skaičių: vieno verslo savininko istorija

Bankai išleido milžiniškas sumas kibernetiniam saugumui ir sukčiavimo aptikimui, bet kas atsitinka, kai nusikalstamos taktikos yra pakankamai sudėtingos, kad net apgautų banko darbuotojus? 

Cody Mullenaux tai reiškė daugiau nei 120,000 XNUMX USD pervedimą iš jo Chase einamosios sąskaitos ir mažai vilčių kada nors atgauti pavogtas lėšas.

40 metų smulkaus verslo savininko iš Kalifornijos Mullenaux saga prasidėjo gruodžio 19 d. Per Kalėdas apsipirkinėdamas savo mažametę dukrą jis sulaukė skambučio iš asmens, kuris teigė esąs iš Chase sukčiavimo skyriaus ir paprašė patvirtinti. įtartinas sandoris.

800 numeris atitiko Chase klientų aptarnavimo tarnybą, todėl Mullenaux nemanė, kad tai buvo įtartina, kai asmuo paprašė jo prisijungti prie savo paskyros naudojant saugią nuorodą, išsiųstą SMS žinute identifikavimo tikslais. Nuoroda atrodė teisėta, o atidaryta svetainė buvo identiška jo Chase banko programai, todėl jis prisijungė. 

„Man net nekilo mintis, kad kalbėjausi ne su teisėtu Chase'o atstovu“, – CNBC sakė Mullenaux.

Praėjo tie laikai, kai vienintelis dalykas, kurio vartotojas turėjo saugotis, buvo įtartinas el. laiškas arba nuoroda. Kibernetinių nusikaltėlių taktika virto įvairiapusėmis schemomis, kai keli nusikaltėliai veikia kaip komanda, kuri taiko sudėtingą taktiką, apimančią paruoštą programinę įrangą, parduodamą rinkiniuose, kurie maskuoja telefono numerius ir imituoja aukos banko prisijungimo puslapius. Tai plačiai paplitusi grėsmė, kuri, pasak kibernetinio saugumo ekspertų, skatina aktyvumą. Jie prognozuoja, kad bus tik blogiau. Deja, nuo šių schemų nukentėjusysis bankas ne visada privalo grąžinti pavogtas lėšas.

Kai jis buvo prisijungęs, Mullenaux sakė matęs, kad tarp jo sąskaitų juda didelės pinigų sumos. Telefonu kalbėjęs asmuo jam pasakė, kad kažkas jo sąskaitoje aktyviai bando pavogti jo pinigus ir kad vienintelis būdas juos apsaugoti – pervesti pinigus banko prižiūrėtojui, kur jie bus laikinai laikomi, kol jie užtikrins jo sąskaitą.

Išsigandęs, kad jo sunkiai uždirbtos santaupos netrukus bus pavogtos, Mullenaux sakė, kad kalbėjosi telefonu beveik tris valandas, vykdė visas jam duotas instrukcijas ir atsakė į papildomus saugumo klausimus. 

CNBC peržiūrėjo Mullenaux mobiliojo ryšio įrašus, banko sąskaitos informaciją, taip pat jam išsiųsto tekstinio pranešimo ir nuorodos vaizdus.

Mullenaux, kuris yra technologijų bendrovės „Aquaphant“, kuri drėgmę iš oro paverčia filtruotu vandeniu, išradėjas ir įkūrėjas, nežinojo, kad telefonu besikalbantis asmuo buvo sudėtingos kibernetinių nusikaltėlių komandos dalis.

Kol Mullenaux kalbėjosi su šiuo netikrų sukčiavimo skyriaus atstovu, antrasis sukčius apsimetė Mullenaux kitame telefono skambutyje su Chase'u, norėdamas leisti atlikti pavedimus. Visi atsakymai į saugaus klausimus, kuriuos M. Mullenaux uždavė, tada buvo paduodami antrajam sukčiui. Tai leido sukčiams pateikti teisingus atsakymus ir įtikinti „Chase“ darbuotoją, kad jie kalbėjosi su sąskaitos savininku.

Apgaulė pasiteisino. Kai „Chase“ darbuotojas įsitikino, kad būtent Mullenaux paskambino, kad patvirtintų tris pavedimus, daugiau nei 120,000 XNUMX USD dingo iš jo banko sąskaitos ir, nepaisant visų jo pastangų, nė vienas iš jų nebuvo atgautas. 

Pareiškime CNBC a vytis „Bankai niekada neprašys vartotojų ar įmonių siųsti pinigų jiems patiems ar kam nors kitam, kad būtų išvengta sukčiavimo, bet sukčiai tai padarys. Norėdami patvirtinti, kad tikrai kalbate su Chase, paskambinkite kortelės gale arba apsilankykite filiale.

Mullenaux sakė, kad jaučiasi nusivylęs ir nugalėtas dėl savo patirties bandant atgauti pavogtas lėšas.

„Kad ir ką jie darytų siekdami apsaugoti klientus, sukčiai visada yra vienu žingsniu priekyje“, – sakė Mullenaux ir pridūrė, kad jo pinigai būtų buvę saugiau batų dėžėje nei dideliame banke, į kurį nusikaltėliai nusitaiko.

Federalinė prekybos komisija pataria, kad bet kuris klientas, kuris mano, kad galėjo nusiųsti pinigus sukčiams pavedimu, turėtų nedelsdamas susisiekti su savo banku, pranešti apie apgaulingą pervedimą ir paprašyti jį atšaukti.

Laikas yra labai svarbus bandant susigrąžinti lėšas, išsiųstas apgaulingu pavedimu, FTC sakė CNBC. Agentūra teigė, kad aukos taip pat turėtų pranešti apie nusikaltimą agentūrai ir FTB skundų dėl nusikaltimų internetu centrui tą pačią arba kitą dieną, jei įmanoma. 

Mullenaux sakė, kad kitą rytą suprato, kad kažkas negerai, kai jo lėšos nebuvo grąžintos į jo sąskaitą.

Jis nedelsdamas nuvažiavo į savo vietinį Chase banko skyrių, kur jam buvo pasakyta, kad jis greičiausiai tapo sukčiavimo auka. Mullenaux teigė, kad šis klausimas nebuvo sprendžiamas skubotai, o atvirkštinio pavedimo bandymas, kurio FTC siūlo klientams prašyti, nebuvo pasiūlyta kaip galimybė.

Vietoj to, Mullenaux sakė, kad filialo darbuotojas jam pasakė, kad per 10 dienų gaus paketą paštu, kurį jis galės užpildyti, kad pateiktų pretenziją. Mullenaux iškart paprašė paketo. Jis užpildė ir pateikė tą pačią dieną.

Šis reikalavimas kartu su antruoju Mullenaux ieškiniu, pateiktu vykdomajai valdžiai, buvo atmesti. Darbuotojai, tiriantys šį reikalą, sakė, kad Mullenaux paskambino, kad patvirtintų pavedimus.

CNBC pateikė Chase'ui Mullenaux mobiliųjų telefonų įrašus, kurie parodė, kad tą dieną jis niekada neskambino Chase'ui. Įrašai taip pat rodo, lyginant su pavedimų įrašais, kad Mullenaux negalėjo paskambinti Chase'ui, kad patvirtintų pavedimus, nes visi trys buvo įgalioti ir perėjo, kol Mullenaux vis dar bendravo su sukčiais.

Tačiau tai nepakeitė banko sprendimo ir vėlgi, Mullenaux reikalavimas buvo atmestas, nes jis pasidalino savo asmenine informacija su nusikaltėliais.

Nesvarbu, ar sukčiai suprato, kad tai daro, ar ne, jie sėkmingai išnaudojo dvi dabartinių vartotojų apsaugos teisės aktų spragas, dėl kurių Chase'as neprivalėjo pakeisti pavogtų Mullenaux lėšų. Teisiškai bankai neprivalo atlyginti pavogtų lėšų, kai klientas yra apgautas nusiųsti pinigus kibernetiniam nusikaltėliui.

Tačiau pagal Elektroninių lėšų pervedimo įstatymą, kuris apima daugumą elektroninių operacijų tipų, pvz., tarpusavio mokėjimus ir mokėjimus ar pervedimus internetu, bankai privalo grąžinti klientams pinigus, kai lėšos pavagiamos be kliento leidimo. Deja, pavedimams, kai pinigai pervedami iš vieno banko į kitą, įstatymas netaikomas, o tai taip pat neapima sukčiavimo, susijusio su popieriniais čekiais ir išankstinio mokėjimo kortelėmis.

Prieš pradėdami pavedimus, kibernetiniai nusikaltėliai taip pat pervedė lėšas iš Mullenaux asmeninių čekių ir taupomųjų sąskaitų į jo verslo sąskaitą. E reglamentas, skirtas padėti vartotojams susigrąžinti pinigus iš neteisėtos operacijos, apsaugo tik asmenis, o ne verslo sąskaitas.

Chase'o atstovas sakė, kad tyrimas tęsiamas, nes bankas bando atgauti pavogtas lėšas.

Mullenaux sako, kad dėl to meldžiasi. „Meldžiuosi, kad ši tragedija būtų kažkaip susitaikyta, kad [banko] vadovybė pamatytų, kas man atsitiko, ir mano pinigai būtų grąžinti.

Mullenaux taip pat pateikė ataskaitas vietos policijai ir FTB skundų dėl nusikaltimų internetu centrui, tačiau nė vienas su juo nesusisiekė dėl jo bylos.

Šiomis sudėtingomis schemomis kibernetiniai nusikaltėliai nusitaiko ne tik „Chase“ klientus. Praėjusią vasarą IronNet atskleidė „phishing-as-a-service“ platforma kuri parduoda paruoštus sukčiavimo rinkinius kibernetiniams nusikaltėliams, kurių taikinys yra JAV įsikūrusios įmonės, įskaitant bankus. Pritaikomi rinkiniai gali kainuoti tik 50 USD per mėnesį ir juose yra kodas, grafika ir konfigūracijos failai, primenantys banko prisijungimo puslapius.

Joey Fitzpatrickas, IronNet grėsmių analizės vadovas, sakė, kad nors jis negali tiksliai pasakyti, kad taip buvo apgauta Mullenaux, „išpuolis prieš jį turi visus bruožus, kai užpuolikai naudoja tokias pačias multimodalines priemones kaip ir sukčiavimas. – teikia paslaugų platformos.

Jis tikisi, kad „kaip paslauga“ tipo pasiūlymai ir toliau bus populiarūs, nes rinkiniai ne tik nuleidžia žemos ir vidutinės pakopos kibernetinių nusikaltėlių kartelę kurti sukčiavimo kampanijas, bet ir leidžia aukštesnės pakopos nusikaltėliams sutelkti dėmesį. vienoje srityje ir sukurti sudėtingesnę taktiką bei kenkėjiškas programas.

„Vien 10 m. sausį pastebėjome, kad sukčiavimo rinkinių diegimas padidėjo 2023 proc.“, – sakė Fitzpatrickas.

2022 m. įmonė pastebėjo 45 % daugiau įspėjimų apie sukčiavimą ir aptikimo atvejų.

Tačiau tai ne tik daugėja sukčiavimo schemų, bet ir visos kibernetinės atakos. „Check Point“ duomenys parodė, kad 2022 m. kassavaitinių kibernetinių atakų finansų / bankininkystės sektoriuje padaugėjo 52 %, palyginti su atakomis 2021 m.

„Per pastaruosius metus kibernetinių atakų ir sukčiavimo schemų sudėtingumas labai išaugo“, – sakė „Check Point“ grėsmių grupės vadovas Sergejus Shykevičius. „Dabar daugeliu atvejų kibernetiniai nusikaltėliai nepasikliauja tik sukčiavimo / kenkėjiškų el. laiškų siuntimu ir laukimu, kol žmonės juos spustels, bet derina tai su telefono skambučiais, MFA [daugiafaktorinio autentifikavimo] nuovargio atakomis ir kt.

Abu kibernetinio saugumo ekspertai teigė, kad bankai gali padaryti daugiau, kad šviestų klientus. 

Shykevičius sakė, kad bankai turėtų investuoti į geresnę grėsmių žvalgybą, kuri galėtų aptikti ir blokuoti kibernetinių nusikaltėlių naudojamus metodus. Jo pateiktas pavyzdys – prisijungimo duomenų palyginimas su asmens skaitmeniniu „piršto atspaudu“, kuris pagrįstas tokiais duomenimis kaip paskyros naudojama naršyklė, ekrano skiriamoji geba arba klaviatūros kalba.

Buvo vienas dalykas, dėl kurio Chase'as, federalinės agentūros ir kibernetinio saugumo ekspertai sutarė: jei klientas sulaukia telefono skambučio iš savo banko ir asmuo pradeda prašyti informacijos, padėkite ragelį ir patys paskambinkite bankui.

„Jei vartotojas netikėtai sulaukia skambučio, žinutės ar elektroninio pašto iš bet kurio, kuris teigia esąs iš jo banko ir įspėja apie problemą, vartotojas turėtų padėti ragelį (arba ištrinti tekstą/el. laišką ir nespausti nuorodų). ir pabandykite paskambinti į savo banką telefono numeriu, kurį jie žino tikrą“, – sakė FTC atstovas.

Kibernetiniai nusikaltėliai turi galimybę suklastoti skambintojo ID ir gali panaudoti pavogtą asmeninę informaciją, kad apgautų auką, kad ši perduotų pinigus.

Siųskite patarimus el. Paštu [apsaugotas el. paštu]