Kompletet e 'Phishing-si-një-shërbim' sjellin rritjen e vjedhjeve: Historia e një pronari biznesi

Bankat kanë shpenzuar shuma të mëdha për sigurinë kibernetike dhe zbulimin e mashtrimit, por çfarë ndodh kur taktikat kriminale janë mjaft të sofistikuara për të mashtruar edhe punonjësit e bankës? 

Për Cody Mullenaux, kjo do të thoshte të kishte më shumë se 120,000 dollarë nga llogaria e tij rrjedhëse e Chase me pak shpresë për të rikuperuar ndonjëherë fondet e tij të vjedhura.

Saga për Mullenaux, një 40-vjeçar pronar i një biznesi të vogël nga Kalifornia, filloi më 19 dhjetor. Ndërsa bënte blerje për Krishtlindje për vajzën e tij të vogël, ai mori një telefonatë nga një person që pretendonte se ishte nga departamenti i mashtrimit Chase dhe kërkonte të verifikonte një transaksion i dyshimtë.

Numri 800 përputhej me shërbimin ndaj klientit Chase, kështu që Mullenaux nuk mendoi se ishte e dyshimtë kur personi i kërkoi të hynte në llogarinë e tij nëpërmjet një lidhjeje të sigurt të dërguar me mesazh me tekst për qëllime identifikimi. Lidhja dukej legjitime dhe faqja e internetit që u hap dukej identike me aplikacionin e tij bankar Chase, kështu që ai u identifikua. 

"Nuk më ka shkuar kurrë në mendje se nuk po flisja me një përfaqësues legjitim të Chase," tha Mullenaux për CNBC.

Kanë kaluar ditët kur e vetmja gjë për të cilën një konsumator duhej të ishte i kujdesshëm ishte një email ose lidhje e dyshimtë. Taktikat e kriminelëve kibernetikë janë shndërruar në skema të shumëfishta, me kriminelë të shumtë që veprojnë si një ekip për të vendosur taktika të sofistikuara që përfshijnë softuer të gatshëm të shitur në komplete që maskojnë numrat e telefonit dhe imitojnë faqet e hyrjes në bankën e viktimës. Është një kërcënim i përhapur që ekspertët e sigurisë kibernetike thonë se po nxit një rritje të aktivitetit. Ata parashikojnë se vetëm do të përkeqësohet. Fatkeqësisht, për viktimat e këtyre skemave, bankave nuk i kërkohet gjithmonë të shlyejë fondet e vjedhura.

Pasi u identifikua, Mullenaux tha se pa shuma të mëdha parash që lëviznin midis llogarive të tij. Personi në telefon i tha atij se dikush ishte në llogarinë e tij në mënyrë aktive duke u përpjekur t'i vidhte paratë e tij dhe se e vetmja mënyrë për t'i mbajtur të sigurta ishte t'i dërgonte paratë mbikëqyrësit të bankës, ku do të mbaheshin përkohësisht ndërsa ata siguruan llogarinë e tij.

I tmerruar se kursimet e tij të fituara me vështirësi do t'i vidheshin, Mullenaux tha se ai qëndroi në telefon për gati tre orë, ndoqi të gjitha udhëzimet që iu dhanë dhe iu përgjigj pyetjeve shtesë të sigurisë që iu bënë. 

CNBC ka shqyrtuar të dhënat celulare të Mullenaux, informacionin e llogarisë bankare, si dhe imazhet e mesazhit me tekst dhe lidhjen që i është dërguar.

Ajo që Mullenaux, i cili është shpikësi dhe themeluesi i Aquaphant, një kompani teknologjike që konverton lagështinë nga ajri në ujë të filtruar, nuk e dinte ishte se personi në telefon ishte pjesë e një ekipi të sofistikuar të kriminelëve kibernetikë.

Ndërsa Mullenaux foli me këtë përfaqësues të rremë të departamentit të mashtrimit, një mashtrues i dytë po imitonte Mullenaux në një telefonatë tjetër me Chase për të autorizuar transfertat bankare. Të gjitha përgjigjet për pyetjet e sigurisë që iu bë Mullenaux, po i jepeshin më pas mashtruesit të dytë. Kjo i lejoi mashtruesit të jepnin përgjigjet e sakta dhe të bindin punonjësin e Chase se po flisnin me mbajtësin e llogarisë.

Mashtrimi funksionoi. Pasi punonjësi i Chase u bind se ishte Mullenaux ai që thirri për të autorizuar tre transfertat bankare, mbi 120,000 dollarë u zhdukën nga llogaria e tij bankare dhe me gjithë përpjekjet e tij më të mira, asnjë prej tyre nuk u rikuperua. 

Në një deklaratë për CNBC, a ndjekje Zëdhënësi tha: “Bankat nuk do t'u kërkojnë kurrë konsumatorëve ose bizneseve që t'i dërgojnë para vetes ose dikujt tjetër për të parandaluar mashtrimin, por mashtruesit do ta bëjnë këtë. Për të konfirmuar se jeni vërtet duke folur me Chase, telefononi numrin në anën e pasme të kartës suaj ose vizitoni një degë."

Mullenaux tha se ndihet i frustruar dhe i mundur për përvojën e tij në përpjekje për të rikuperuar fondet e tij të vjedhura.

“Pavarësisht se çfarë bëjnë ata për të mbrojtur klientët, mashtruesit janë gjithmonë një hap përpara”, tha Mullenaux, duke shtuar se paratë e tij do të kishin qenë më të sigurta në një kuti këpucësh sesa në një bankë të madhe që po synojnë kriminelët kibernetikë.

Komisioni Federal i Tregtisë këshillon që çdo klient që mendon se mund t'u ketë dërguar para mashtruesve nëpërmjet një transferte bankare, duhet të kontaktojë menjëherë bankën e tyre, të raportojë transferimin mashtrues dhe të kërkojë që ai të anulohet.

Koha është kritike kur përpiqeni të rikuperoni fondet e dërguara përmes transfertave mashtruese, tha FTC për CNBC. Agjencia tha se viktimat duhet gjithashtu të raportojnë krimin në agjenci si dhe në Qendrën e Ankesave për Krimet në Internet të FBI-së, të njëjtën ditë ose ditën tjetër, nëse është e mundur. 

Mullenaux tha se kuptoi se diçka nuk ishte në rregull të nesërmen në mëngjes kur fondet e tij nuk ishin kthyer në llogarinë e tij.

Ai menjëherë shkoi me makinë në degën e tij lokale të bankës Chase, ku iu tha se kishte të ngjarë të kishte qenë viktimë e mashtrimit. Mullenaux tha se çështja nuk u trajtua me ndonjë ndjenjë urgjence dhe një përpjekje e kundërt e transferimit të telit, të cilën FTC sugjeron që klientët të kërkojnë, nuk u ofrua si opsion.

Në vend të kësaj, Mullenaux tha se punonjësi i degës i tha se do të merrte një pako me postë brenda 10 ditëve që ai mund ta plotësonte për të paraqitur një kërkesë. Mullenaux kërkoi pakon menjëherë. Ai e plotësoi dhe e dorëzoi po atë ditë.

Ky pretendim, së bashku me një të dytë Mullenaux të paraqitur në degën ekzekutive, u refuzuan. Punonjësit që hetonin çështjen thanë se Mullenaux kishte thirrur për të autorizuar transfertat bankare.

CNBC i dha Chase të dhënat e telefonit celular të Mullenaux që tregonin se ai kurrë nuk bëri asnjë telefonatë dalëse me Chase në ditën në fjalë. Të dhënat sugjerojnë gjithashtu, kur krahasohen me të dhënat e transfertave bankare, se nuk mund të kishte qenë Mullenaux ai që e thirri Chase-in për të autorizuar transfertat bankare, sepse të tre ishin të autorizuar dhe kaluan derisa Mullenaux ishte ende në telefon me mashtruesit.

Megjithatë, kjo nuk e ndryshoi vendimin e bankës dhe, përsëri, pretendimi i Mullenaux u mohua pasi ai kishte ndarë informacionin e tij privat me kriminelët.

Pavarësisht nëse mashtruesit e kuptuan se po e bënin apo jo, ata shfrytëzuan me sukses dy boshllëqe në legjislacionin aktual për mbrojtjen e konsumatorit që rezultuan që Chase të mos i kërkohej të zëvendësonte fondet e vjedhura të Mullenaux. Ligjërisht, bankat nuk duhet të rimbursojnë fondet e vjedhura kur një klient mashtrohet për t'i dërguar para një krimineli kibernetik.

Megjithatë, sipas Aktit të Transferimit Elektronik të Fondeve, i cili mbulon shumicën e llojeve të transaksioneve elektronike si pagesat peer-to-peer dhe pagesat ose transfertat online, bankave u kërkohet të paguajnë klientët kur fondet vidhen pa e autorizuar klientin. Fatkeqësisht, transfertat bankare, të cilat përfshijnë transferimin e parave nga një bankë në tjetrën, nuk mbulohen nga akti, i cili gjithashtu përjashton mashtrimin që përfshin çeqe letre dhe kartat e parapaguara.

Kriminelët kibernetikë transferuan gjithashtu fonde nga llogaritë personale të kontrollit dhe kursimeve të Mullenaux në llogarinë e tij të biznesit përpara se të fillonin transfertat bankare. Rregullorja E, e cila është krijuar për të ndihmuar konsumatorët të marrin paratë e tyre nga një transaksion i paautorizuar, mbron vetëm individët, jo llogaritë e biznesit.

Një përfaqësues i Chase tha se hetimi është në vazhdim pasi banka përpiqet të rikuperojë fondet e vjedhura.

Kjo është diçka për të cilën Mullenaux thotë se po lutet. “Lutem që kjo tragjedi të pajtohet disi, që menaxhmenti i [bankës] të shohë se çfarë më ndodhi dhe paratë e mia të kthehen.”

Mullenaux gjithashtu ka paraqitur raporte në policinë lokale dhe Qendrën e Ankesave të Krimeve në Internet të FBI-së, por asnjëri nuk e ka kontaktuar atë për rastin e tij.

Nuk janë vetëm klientët e Chase që synohen nga kriminelët kibernetikë me këto skema të sofistikuara. Këtë verë të kaluar, IronNet zbuloi një platformë "phishing-si-një-shërbim". që u shet komplete të gatshme për phishing kriminelëve kibernetikë që synojnë kompanitë me bazë në SHBA, duke përfshirë bankat. Kompletet e personalizueshme mund të kushtojnë deri në 50 dollarë në muaj dhe përfshijnë kodin, grafikë dhe skedarë konfigurimi që t'i ngjajnë faqeve të hyrjes në bankë.

Joey Fitzpatrick, një menaxher i analizës së kërcënimeve në IronNet, tha se megjithëse nuk mund të thotë me siguri se kështu u mashtrua Mullenaux, "sulmi kundër tij mban të gjitha shenjat dalluese të sulmuesve që përdorin të njëjtin lloj mjetesh multimodale që phishing-i -platformat e një shërbimi ofrojnë.”

Ai pret që ofertat e tipit "si shërbim" vetëm të vazhdojnë të fitojnë tërheqje pasi kompletet jo vetëm që ulin shiritin për kriminelët kibernetikë të nivelit të ulët dhe të mesëm për të krijuar fushata phishing, por gjithashtu u mundësojnë kriminelëve të nivelit më të lartë të përqendrohen në një zonë të vetme dhe zhvilloni taktika dhe malware më të sofistikuara.

"Ne kemi parë një rritje prej 10% në vendosjen e kompleteve të phishing vetëm në janar 2023," tha Fitzpatrick.

Në vitin 2022, kompania pa një rritje prej 45% në sinjalizimet dhe zbulimet e phishing.

Por nuk janë vetëm skemat e phishing në rritje, por janë të gjitha sulme kibernetike. Të dhënat nga Check Point treguan se në vitin 2022 kishte një rritje prej 52% të sulmeve kibernetike javore në sektorin financiar/bankar krahasuar me sulmet në vitin 2021.

"Sofistikimi i sulmeve kibernetike dhe skemave të mashtrimit është rritur ndjeshëm gjatë vitit të kaluar," tha Sergey Shykevich, menaxheri i grupit të kërcënimit në Check Point. “Tani, në shumë raste kriminelët kibernetikë nuk mbështeten vetëm në dërgimin e emaileve phishing/me qëllim të keq dhe duke pritur që njerëzit t'i klikojnë, por e kombinojnë atë me telefonata, sulme lodhjeje nga MFA [autentifikimi me shumë faktorë] dhe më shumë.”

Të dy ekspertët e sigurisë kibernetike thanë se bankat mund të bëjnë më shumë për të edukuar klientët. 

Shykevich tha se bankat duhet të investojnë në inteligjencë më të mirë të kërcënimit që mund të zbulojë dhe bllokojë metodat që përdorin kriminelët kibernetikë. Një shembull që ai dha është krahasimi i një identifikimi me "gjurmën e gishtit" dixhital të një personi, i cili bazohet në të dhëna të tilla si shfletuesi që përdor një llogari, rezolucioni i ekranit ose gjuha e tastierës.

Kishte një gjë për të cilën Chase, agjencitë federale dhe ekspertët e sigurisë kibernetike ishin të gjithë dakord: nëse një klient merr një telefonatë nga banka e tyre dhe personi fillon të kërkojë informacion, mbyllni telefonin dhe telefononi vetë bankën.

“Nëse një konsumator merr një telefonatë, tekst ose email papritmas nga kushdo që pretendon se është nga banka e tij, duke i njoftuar për një problem, konsumatori duhet të mbyllë telefonin (ose të fshijë tekstin/emailin dhe të mos kliko në lidhje) dhe provoni të telefononi bankën e tyre në një numër telefoni që ata e dinë se është real, "tha një zëdhënës i FTC.

Kriminelët kibernetikë kanë aftësinë të mashtrojnë ID-në e telefonuesit dhe mund të përdorin informacione personale të vjedhura për të mashtruar një viktimë për të dorëzuar para.

Ju lutemi këshilla me email për [email mbrojtur]