'Phishing-a-zerbitzu gisa' kit-ek lapurretaren gorakada eragiten dute: negozio baten jabearen istorioa

Bankuek kopuru izugarriak gastatu dituzte zibersegurtasunean eta iruzurra detektatzeko, baina zer gertatzen da taktika kriminalak bankuko langileak ere engainatzeko adina sofistikatuak direnean? 

Cody Mullenauxentzat, bere Chase kontu korrontetik 120,000 dolar baino gehiago kableatzea esan nahi zuen, lapurtutako funtsak inoiz berreskuratzeko itxaropen gutxirekin.

Mullenaux-en saga, Kaliforniako 40 urteko enpresa txiki baten jabea, abenduaren 19an hasi zen. Bere alaba gaztearentzat Gabonetan erosketak egiten ari zela, Chase iruzur sailekoa zela dioen pertsona baten deia jaso zuen eta egiaztatzeko eskatuz. transakzio susmagarria.

800 zenbakiak Chase bezeroarentzako zerbitzuarekin bat egiten zuen, beraz, Mullenauxek ez zuen uste susmagarria zenik, pertsonak bere kontuan saioa hasteko eskatu zionean testu-mezu bidez bidalitako esteka seguru baten bidez identifikazio helburuetarako. Estekak zilegia zirudien eta ireki zen webgunea bere Chase banku-aplikazioaren berdina zen, beraz, saioa hasi zuen. 

"Inoiz ez zait burutik pasatu ere Chaseko ordezkari legitimo batekin hitz egiten ari ez nintzela", esan zion Mullenauxek CNBCri.

Joan dira kontsumitzaileak kontuz ibili behar zuen gauza bakarra mezu elektroniko edo esteka susmagarri batekin zen garaia. Ziberkriminalen taktikak hainbat eskemetan bihurtu dira, hainbat gaizkile talde gisa jarduten duten taktika sofistikatuak zabaltzeko prest dauden softwarea inplikatuta, telefono-zenbakiak ezkutatzen dituzten eta biktima baten bankuko saio-orriak imitatzen dituzten kitetan saltzen diren. Zibersegurtasun adituek jardueraren gorakada bultzatzen ari dela dioten mehatxu zabala da. Okerrera egingo duela aurreikusten dute. Zoritxarrez, eskema hauen biktimarentzat, bankuak ez du beti eskatzen lapurtutako funtsak itzultzeko.

Saioa hasi ondoren, Mullenauxek esan zuen diru kopuru handiak ikusi zituela bere kontuen artean mugitzen. Telefonoko pertsonak esan zion norbait bere kontuan aktiboki bere dirua lapurtzen saiatzen ari zela eta seguru mantentzeko modu bakarra bankuko arduradunari dirua bidaltzea zela, non aldi baterako gordeko zela bere kontua bermatzen zuten bitartean.

Gogor irabazitako aurrezkiak lapurtzear zirela izututa, Mullenauxek esan zuen ia hiru orduz egon zela telefonoan, emandako argibide guztiak jarraitu zituela eta egin zizkioten segurtasun galdera gehigarriak erantzun zituela. 

CNBCk Mullenauxen erregistro mugikorrak, banku-kontuaren informazioa eta bidalitako testu-mezuaren eta estekaren irudiak aztertu ditu.

Mullenauxek, Aquaphant-en asmatzaile eta sortzailea den, aireko hezetasuna iragazitako ur bihurtzen duen enpresa teknologikoa, ez zekiena telefonoko pertsona ziberkriminal talde sofistikatu baten parte zela.

Mullenaux-ek iruzur saileko ordezkari faltsu honekin hitz egiten zuen bitartean, bigarren iruzurgile bat Mullenaux-en ordezkatzen ari zen Chaserekin beste telefono dei batean, alanbre-transferentziak baimentzeko. Mullenauxek egin zizkion segurtasun galderen erantzun guztiak bigarren iruzurgileari ematen zizkioten orduan. Horri esker, iruzurgileek erantzun zuzenak eman eta Chase-ko langilea kontuaren titularrarekin hitz egiten ari zirela konbentzitu zuten.

Iruzurra funtzionatu zuen. Chase-ko langilea Mullenaux zela konbentzitu zenean hiru transferentzia elektronikoak baimentzeko deitu zuena, 120,000 dolar baino gehiago desagertu ziren bere bankuko kontutik eta ahalegin guztiak egin arren ez da ezer berreskuratu. 

CNBCri egindako adierazpenetan, a Chase bozeramaileak esan duenez, "Bankuek ez diete inoiz eskatuko kontsumitzaileei edo enpresei dirua bidaltzeko beren buruari edo beste inori iruzurra saihesteko, baina iruzurgileek egingo dute. Chaserekin benetan hitz egiten ari zarela baieztatzeko, deitu txartelaren atzeko zenbakira edo bisitatu sukurtsal batera."

Mullenauxek esan du frustratuta eta garaituta sentitzen dela lapurtutako funtsak berreskuratu nahian izandako esperientziagatik.

"Bezeroak babesten saiatzeko egiten dutena edozein dela ere, iruzurgileak urrats bat aurrerago daude beti", esan zuen Mullenauxek, eta bere dirua ziberkriminalak bideratzen ari diren banku handi batean baino seguruago egongo zen zapata-kaxa batean.

Merkataritza Batzorde Federalak gomendatzen du iruzurgileei alanbre-transferentzia baten bidez dirua bidali zezakeela uste duen edozein bezerok berehala jarri behar duela bere bankuarekin harremanetan, iruzurrezko transferentzia salatu eta itzultzeko eskatu.

Denbora kritikoa da iruzurrezko transferentzia bidez bidalitako funtsak berreskuratzen saiatzean, FTCk CNBCri esan dio. Agentziaren esanetan, biktimek delitua agentziari eta FBIren Interneteko Delituen Kexa Zentroari ere salatu behar diote, egun berean edo hurrengo egunean, ahal bada. 

Mullenauxek esan zuen hurrengo goizean zerbait gaizki zegoela konturatu zela bere fondoak bere kontura itzuli ez zirenean.

Berehala bere tokiko Chase bankuko sukurtsalera joan zen eta bertan iruzur baten biktima izan zela esan zioten. Mullenaux-ek esan zuen gaia ez zela inolako premiazkotasunarekin kudeatu, eta alderantzizko alanbre-transferentzia saiakera bat, FTCk bezeroek eskatzen dutena, ez zen aukera gisa eskaini.

Horren ordez, Mullenauxek esan zuen bulegoko langileak erreklamazio bat aurkezteko bete zezakeela 10 eguneko epean postaz pakete bat jasoko zuela esan zion. Mullenauxek paketea berehala eskatu zuen. Bete eta egunean bertan aurkeztu zuen.

Erreklamazio hori, Mullenauxek botere exekutiboari aurkeztutako bigarren batekin batera, ukatu egin ziren. Gaia ikertzen ari diren langileek esan zuten Mullenauxek telefono bidezko transferentziak baimentzeko deitu zuela.

CNBC-k Chase-k Mullenaux-en telefono mugikorren erregistroak eman zizkion eta horrek erakusten zuen ez zuela inoiz Chase-ri irteerako telefono deirik egin aipatutako egunean. Erregistroek iradokitzen dute, halaber, transferentzien erregistroekin alderatuta, ezin zitekeela izan Mullenaux izan Chase-k alanbre transferentziak baimentzeko deitu zuena, hirurak baimenduta zeudelako eta Mullenaux oraindik iruzurgileekin telefonoan zegoen bitartean igaro zirelako.

Hala ere, horrek ez zuen bankuaren erabakia aldatu eta, berriro ere, Mullenauxen erreklamazioa ukatu egin zen, gaizkileekin bere informazio pribatua partekatu baitzuen.

Iruzurgileak egiten ari zirela konturatu ala ez, kontsumitzaileen babesaren egungo legediaren bi hutsune arrakastaz baliatu zituzten Chase-k Mullenaux-en lapurtutako funtsak ordezkatu behar ez izana. Legez, bankuek ez dute lapurtutako funtsak itzuli beharrik bezero bat ziberkriminal bati dirua bidaltzeko engainatzen dutenean.

Hala ere, Funtsen Transferentzia Elektronikoaren Legearen arabera, transakzio elektroniko mota gehienak barne hartzen dituena, hala nola peer-to-peer ordainketak eta lineako ordainketak edo transferentziak, bankuek bezeroei ordaindu behar diete funtsak lapurtzen zaizkienean bezeroak baimendu gabe. Zoritxarrez, banku batetik bestera dirua transferitzea dakarten alanbre-transferentziak ez daude legearen arabera, paperezko txekeak eta aurrez ordaindutako txartelak dakartzan iruzurra ere baztertzen duena.

Ziberkriminalek Mullenaux-en kontu korronte eta aurrezki pertsonaletatik bere negozio-kontura ere transferitu zituzten alanbre-transferentziak hasi aurretik. E araudiak, kontsumitzaileek baimenik gabeko transakzio batetik dirua itzultzen laguntzeko diseinatua, pertsonak soilik babesten ditu, ez enpresa kontuak.

Chase-ko ordezkari batek esan du ikerketa aurrera doala, bankua lapurtutako funtsak berreskuratzen saiatzen den heinean.

Hori da Mullenauxek otoitz egiten duela dioena. "Otoitz egiten dut tragedia hau nolabait uztartu dadin, [bankuko] zuzendaritzak ikusi dezala zer gertatu zaidan eta nire dirua itzul dadila".

Mullenauxek ere txostenak aurkeztu ditu Udaltzaingoan eta FBIren Interneteko Delituen Salaketa Zentroan, baina ez batak ez besteak ez dira berarekin harremanetan jarri bere kasuari buruz.

Ez da Chase bezeroak eskema sofistikatu hauekin ziberkriminalen jomuga izatea. Azken udan, IronNet-ek agerian utzi zuen "phishing-as-a-service" plataforma prest egindako phishing kitak saltzen dizkie AEBetako enpresei zuzenduta dauden ziberkriminalei, bankuak barne. Kit pertsonalizagarriek hilean 50 $ baino gutxiago balio dezakete eta kodea, grafikoak eta konfigurazio fitxategiak barne hartzen dituzte, bankuko saioa hasteko orrien antza izateko.

Joey Fitzpatrick-ek, IronNet-eko mehatxuen analisiaren kudeatzaileak, esan du ezin duela ziur esan Mullenauxi horrela iruzurtu ziotenik, "bere aurkako erasoak phishing-ak bezalako tresna multimodal berdinak baliatzen dituzten erasotzaileen ezaugarri guztiak ditu. -a-service plataformek eskaintzen dute."

"Zerbitzu gisa" motako eskaintzek indarra izaten jarraituko dutela espero du, kitek maila baxuko edo ertaineko ziberkriminalei phishing kanpainak sortzeko barra jaisten ez ezik, maila altuagoko gaizkileei arreta jartzea ahalbidetzen dietelako. eremu bakarrean eta taktika eta malware sofistikatuagoak garatu.

"10ko urtarrilean bakarrik phishing kitak hedatzea %2023 handitu dela ikusi dugu", esan du Fitzpatrickek.

2022an, konpainiak % 45 hazi ziren phishing alertak eta detekzioak.

Baina ez dira phishing-eskemak hazten ari diren eskemak soilik, zibereraso guztiak baizik. Check Point-eko datuek erakutsi zuten 2022an finantza/banku sektorean asteko zibererasoetan %52ko igoera izan zela 2021eko erasoekin alderatuta.

"Zibererasoen eta iruzur eskemen sofistikazioa nabarmen handitu da azken urtean", esan zuen Sergey Shykevichek, Check Pointeko mehatxu taldearen kudeatzaileak. "Orain, kasu askotan, ziberkriminalak ez dira phishing/maltzurren mezu elektronikoak bidaltzean eta jendeak klik egin arte itxaroten soilik oinarritzen, baizik eta telefono deiekin, MFA [faktore anitzeko autentifikazioa] neke-erasoekin eta gehiagorekin konbinatzen dira".

Zibersegurtasuneko bi adituek esan dute bankuek gehiago egin dezaketela bezeroak hezteko. 

Shykevichek esan zuen bankuek ziberkriminalek erabiltzen dituzten metodoak detektatu eta blokeatu ditzaketen mehatxuen adimen hobean inbertitu beharko luketela. Eman zuen adibide bat saio-hasiera bat pertsona baten "hatz-marka" digitalarekin alderatzea da, kontu batek erabiltzen duen arakatzailea, pantailaren bereizmena edo teklatuaren hizkuntza bezalako datuetan oinarrituta.

Chase, agentzia federalak eta zibersegurtasuneko adituak ados zeuden gauza batean: bezero batek bere bankutik telefono dei bat jasotzen badu eta pertsona hori informazioa eskatzen hasten bada, eskegi eta berriro deitu bankuari.

"Kontsumitzaile batek bere bankukoa dela dioen edonork dei, testu edo mezu elektroniko bat jasotzen badu arazo baten berri emanez, kontsumitzaileak eseki egin beharko luke (edo testua/mezu elektronikoa ezabatu eta ez egin esteketan klik egin). eta saiatu bere bankura deitzen benetakoa dela dakiten telefono-zenbaki batera», esan zuen FTCko bozeramaile batek.

Ziberkriminalek deitzailearen IDa faltsutzeko gaitasuna dute eta lapurtutako informazio pertsonala erabil dezakete biktima bat dirua entrega dezan engainatzeko.

Mesedez, bidali mezu elektroniko bati aholkuak [posta elektroniko bidez babestua]