Kompleti 'phishing-as-a-service' povečajo število tatvin: zgodba enega lastnika podjetja

Banke so porabile ogromne zneske za kibernetsko varnost in odkrivanje goljufij, a kaj se zgodi, ko so kriminalne taktike dovolj prefinjene, da celo preslepijo bančne uslužbence? 

Za Codyja Mullenauxa je to pomenilo več kot 120,000 dolarjev nakazanih z njegovega tekočega računa Chase z malo upanja, da bo kdaj povrnil ukradena sredstva.

Saga za Mullenauxa, 40-letnega lastnika malega podjetja iz Kalifornije, se je začela 19. decembra. Med božičnim nakupovanjem za svojo mlado hčerko ga je poklicala oseba, ki je trdila, da je iz oddelka za goljufije Chase, in zahtevala, da preveri sumljivo transakcijo.

Številka 800 se je ujemala s službo za stranke Chase, tako da se Mullenauxu ni zdelo sumljivo, ko ga je oseba prosila, naj se prijavi v svoj račun prek zaščitene povezave, poslane z besedilnim sporočilom za namene identifikacije. Povezava je bila videti zakonita in spletno mesto, ki se je odprlo, je bilo videti enako njegovi bančni aplikaciji Chase, zato se je prijavil. 

"Niti na misel mi ni prišlo, da ne govorim z zakonitim predstavnikom Chase," je Mullenaux povedal za CNBC.

Minili so časi, ko je bil potrošnik edino, na kar je moral biti previden, sumljivo e-poštno sporočilo ali povezava. Taktike kibernetskih kriminalcev so se spremenile v večstranske sheme, pri čemer več kriminalcev deluje kot ekipa za uvajanje prefinjenih taktik, ki vključujejo pripravljeno programsko opremo, ki se prodaja v kompletih, ki maskirajo telefonske številke in posnemajo prijavne strani banke žrtve. Gre za vsesplošno grožnjo, za katero strokovnjaki za kibernetsko varnost pravijo, da povzroča porast dejavnosti. Napovedujejo, da bo le še slabše. Na žalost žrtvi teh shem banka ni vedno dolžna vrniti ukradenih sredstev.

Ko je bil prijavljen, je Mullenaux rekel, da je videl velike količine denarja, ki se premikajo med njegovimi računi. Oseba po telefonu mu je povedala, da je nekdo na njegovem računu in aktivno poskuša ukrasti njegov denar in da je edini način, da ga obdrži na varnem, ta, da nakaže denar bančnemu nadzorniku, kjer bo začasno zadržan, dokler ne zavarujejo njegovega računa.

Prestrašen, da bodo njegovi težko prisluženi prihranki kmalu ukradeni, je Mullenaux rekel, da je ostal na telefonu skoraj tri ure, upošteval vsa navodila, ki jih je prejel, in odgovarjal na dodatna varnostna vprašanja, ki so mu bila zastavljena. 

CNBC je pregledal Mullenauxovo mobilno evidenco, podatke o bančnem računu ter slike besedilnega sporočila in povezave, ki mu je bila poslana.

Mullenaux, ki je izumitelj in ustanovitelj tehnološkega podjetja Aquaphant, ki pretvarja vlago iz zraka v filtrirano vodo, ni vedel, da je oseba na telefonu del prefinjene ekipe kibernetskih kriminalcev.

Medtem ko je Mullenaux govoril s tem lažnim predstavnikom oddelka za goljufije, se je drugi prevarant lažno predstavljal za Mullenauxa v drugem telefonskem klicu s Chaseom, da bi odobril bančna nakazila. Vsi odgovori na varnostna vprašanja, ki jih je postavil Mullenaux, so bili nato posredovani drugemu goljufu. To je goljufom omogočilo, da so zagotovili pravilne odgovore in prepričali uslužbenca Chase, da so govorili z imetnikom računa.

Prevara je delovala. Ko je bil uslužbenec Chase prepričan, da je bil Mullenaux tisti, ki je poklical, da bi odobril tri bančna nakazila, je z njegovega bančnega računa izginilo več kot 120,000 dolarjev in kljub njegovim prizadevanjem ni bilo nič povrnjeno. 

V izjavi za CNBC je a Chase Tiskovni predstavnik je dejal: »Banke ne bodo nikoli zahtevale od potrošnikov ali podjetij, naj pošljejo denar sebi ali komur koli drugemu, da bi preprečile goljufije, prevaranti pa bodo. Če želite potrditi, da res govorite s Chaseom, pokličite številko na hrbtni strani kartice ali obiščite podružnico.«

Mullenaux je dejal, da se počuti frustriranega in poraženega zaradi svoje izkušnje, ko poskuša izterjati ukradena sredstva.

»Ne glede na to, kaj storijo, da bi zaščitili stranke, so prevaranti vedno korak pred njimi,« je dejal Mullenaux in dodal, da bi bil njegov denar varnejši v škatli za čevlje kot v veliki banki, ki jo ciljajo kibernetski kriminalci.

Zvezna komisija za trgovino svetuje, naj vsaka stranka, ki misli, da je morda poslala denar goljufom prek bančnega nakazila, nemudoma stopi v stik s svojo banko, prijavi goljufivo nakazilo in zahteva, da se razveljavi.

Čas je ključnega pomena pri poskusu izterjave sredstev, poslanih z goljufivim bančnim nakazilom, je FTC povedal za CNBC. Agencija je dejala, da bi morale žrtve prijaviti zločin tudi agenciji in FBI-jevemu centru za pritožbe o internetnih zločinih, še isti dan ali naslednji dan, če je mogoče. 

Mullenaux je dejal, da je ugotovil, da je nekaj narobe naslednje jutro, ko mu sredstva niso bila vrnjena na njegov račun.

Takoj se je odpeljal do lokalne poslovalnice banke Chase, kjer so mu povedali, da je verjetno žrtev goljufije. Mullenaux je dejal, da zadeve niso obravnavali z občutkom nujnosti in poskus povratnega bančnega nakazila, za katerega FTC predlaga, da ga stranke zahtevajo, ni bil ponujen kot možnost.

Namesto tega je Mullenaux dejal, da mu je uslužbenec podružnice povedal, da bo v 10 dneh po pošti prejel paket, ki ga lahko izpolni za vložitev zahtevka. Mullenaux je takoj prosil za paket. Izpolnil jo je in oddal še isti dan.

Ta trditev, skupaj z drugo, ki jo je Mullenaux vložil pri izvršni veji oblasti, je bila zavrnjena. Zaposleni, ki preiskujejo zadevo, so povedali, da je Mullenaux klical, da bi odobril nakazila.

CNBC je Chaseu posredoval evidenco Mullenauxovih mobilnih telefonov, ki so pokazali, da na zadevni dan ni nikoli opravil nobenega odhodnega telefonskega klica Chasu. Zapisi v primerjavi z zapisi o elektronskih nakazilih prav tako kažejo, da ni mogel biti Mullenaux tisti, ki je poklical Chase, da bi odobril bančna nakazila, ker so bili vsi trije pooblaščeni in so šli skozi, medtem ko je Mullenaux še vedno telefoniral s prevaranti.

Vendar to ni spremenilo odločitve banke in ponovno je bila Mullenauxova trditev zavrnjena, saj je svoje osebne podatke delil s kriminalci.

Ne glede na to, ali so se goljufi zavedali, da to počnejo ali ne, so uspešno izkoristili dve vrzeli v veljavni zakonodaji o varstvu potrošnikov, zaradi česar Chaseu ni bilo treba nadomestiti ukradenih sredstev Mullenauxa. Zakonsko gledano bankam ni treba povrniti ukradenih sredstev, ko je stranka zavedena, da pošlje denar kibernetskemu kriminalcu.

Vendar pa morajo banke v skladu z Zakonom o elektronskem prenosu sredstev, ki zajema večino vrst elektronskih transakcij, kot so medsebojna plačila in spletna plačila ali prenosi, strankam povrniti denar, če so sredstva ukradena, ne da bi stranka to odobrila. Na žalost bančna nakazila, ki vključujejo prenos denarja iz ene banke v drugo, niso zajeta v zakonu, ki prav tako izključuje goljufije, ki vključujejo papirnate čeke in predplačniške kartice.

Kibernetski kriminalci so tudi prenesli sredstva z Mullenauxovih osebnih tekočih in varčevalnih računov na njegov poslovni račun, preden so sprožili bančna nakazila. Uredba E, ki je zasnovana tako, da potrošnikom pomaga pri vrnitvi denarja zaradi nepooblaščene transakcije, ščiti samo posameznike, ne pa poslovnih računov.

Predstavnik Chase je dejal, da preiskava še poteka, saj banka poskuša izterjati ukradena sredstva.

To je nekaj, za kar Mullenaux pravi, da moli. "Molim, da se ta tragedija nekako pomiri, da vodstvo [banke] vidi, kaj se mi je zgodilo, in moj denar vrnejo."

Mullenaux je vložil tudi prijave lokalni policiji in FBI-jevemu centru za pritožbe o internetnih zločinih, vendar nobeden od njiju ni stopil v stik z njim glede njegovega primera.

Kibernetski kriminalci s temi prefinjenimi shemami ne napadajo samo strank Chase. To preteklo poletje je IronNet odkril platformo »phishing-as-a-service«. ki kibernetskim kriminalcem prodaja že pripravljene komplete za lažno predstavljanje, ki ciljajo na podjetja s sedežem v ZDA, vključno z bankami. Prilagodljivi kompleti lahko stanejo le 50 USD na mesec in vključujejo kodo, grafiko in konfiguracijske datoteke, ki spominjajo na strani za prijavo v banko.

Joey Fitzpatrick, vodja analize groženj pri IronNetu, je dejal, da čeprav ne more z gotovostjo trditi, da je bil Mullenaux tako ogoljufan, »napad proti njemu nosi vse znake napadalcev, ki uporabljajo isto vrsto večmodalnih orodij kot phishing-as - ponujajo platforme storitev.«

Pričakuje, da se bodo ponudbe tipa »kot storitev« le še naprej uveljavljale, saj kompleti ne le znižujejo letvico za kiberkriminalce nizke do srednje ravni pri ustvarjanju lažnih kampanj, ampak tudi kriminalcem višje ravni omogočajo, da se osredotočijo na enem samem področju ter razviti bolj izpopolnjene taktike in zlonamerno programsko opremo.

»Samo januarja 10 smo opazili 2023-odstotno povečanje uvajanja kompletov za lažno predstavljanje,« je dejal Fitzpatrick.

Leta 2022 je podjetje zabeležilo 45-odstotno povečanje števila opozoril in zaznav lažnega predstavljanja.

Vendar pa niso v porastu samo sheme lažnega predstavljanja, ampak vsi kibernetski napadi. Podatki družbe Check Point so leta 2022 pokazali, da se je število tedenskih kibernetskih napadov na finančni/bančni sektor povečalo za 52 % v primerjavi z napadi leta 2021.

"Sofisticiranost kibernetskih napadov in shem goljufij se je v zadnjem letu močno povečala," je dejal Sergey Shykevich, vodja skupine za grožnje pri Check Pointu. "Zdaj se kibernetski kriminalci v mnogih primerih ne zanašajo le na pošiljanje phishing/zlonamernih e-poštnih sporočil in čakanje, da jih ljudje kliknejo, ampak to kombinirajo s telefonskimi klici, MFA [večfaktorsko avtentikacijo] napadi utrujenosti in še več."

Oba strokovnjaka za kibernetsko varnost sta dejala, da bi banke lahko naredile več za izobraževanje strank. 

Shykevich je dejal, da bi morale banke vlagati v boljše obveščanje o grožnjah, ki lahko odkrije in blokira metode, ki jih uporabljajo kibernetski kriminalci. Primer, ki ga je navedel, je primerjava prijave z digitalnim »prstnim odtisom« osebe, ki temelji na podatkih, kot so brskalnik, ki ga račun uporablja, ločljivost zaslona ali jezik tipkovnice.

Chase, zvezne agencije in strokovnjaki za kibernetsko varnost so se strinjali o eni stvari: če stranka prejme telefonski klic iz svoje banke in začne oseba zahtevati informacije, odložite slušalko in sami pokličite banko nazaj.

»Če potrošnik nenadoma prejme klic, besedilo ali e-pošto od nekoga, ki trdi, da je iz njihove banke, in ga opozori na težavo, naj odloži slušalko (ali izbriše besedilo/e-pošto in ne klikne povezav) in poskusite poklicati njihovo banko na telefonsko številko, za katero vedo, da je prava,« je dejal tiskovni predstavnik FTC.

Kibernetski kriminalci imajo možnost ponarediti ID klicatelja in lahko uporabijo ukradene osebne podatke, da žrtev preslepijo, da ji preda denar.

Nasvete pošljite po e-pošti [e-pošta zaščitena]