Cody Mullenaux og hans familie. Mullenaux var offer for en sofistikeret ledningssvindelordning, der har resulteret i, at $120,000 er blevet stjålet
Høflighed: Cody Mullenaux
Banker har brugt enorme beløb på cybersikkerhed og afsløring af svindel, men hvad sker der, når kriminelle taktikker er sofistikerede nok til selv at narre bankansatte?
For Cody Mullenaux betød det at have overført mere end $120,000 fra sin Chase checkkonto med lidt håb om nogensinde at få sine stjålne penge tilbage.
Sagaen om Mullenaux, en 40-årig ejer af en lille virksomhed fra Californien, begyndte den 19. december. Mens han juleshoppede for sin unge datter, modtog han et opkald fra en person, der hævdede at være fra Chase-svindelafdelingen og bad om at få bekræftet en mistænkelig transaktion.
800-nummeret matchede Chase kundeservice, så Mullenaux mente ikke, at det var mistænkeligt, da personen bad ham om at logge ind på sin konto via et sikret link sendt med sms til identifikationsformål. Linket så legitimt ud, og hjemmesiden, der åbnede, så ud til at være identisk med hans Chase-bankapp, så han loggede ind.
"Det slog mig aldrig op, at jeg ikke talte med en legitim Chase-repræsentant," sagde Mullenaux til CNBC.
De dage er forbi, hvor det eneste, en forbruger skulle være på vagt over for, var en mistænkelig e-mail eller et mistænkeligt link. Cyberkriminelles taktik er blevet til flerstrengede ordninger, hvor flere kriminelle agerer som et team for at implementere sofistikerede taktikker, der involverer færdiglavet software, der sælges i sæt, der maskerer telefonnumre og efterligner login-sider i et offers bank. Det er en gennemgribende trussel, som cybersikkerhedseksperter siger, driver en stigning i aktiviteten. De forudser, at det kun vil blive værre. Desværre, for ofre for disse ordninger, er banken ikke altid forpligtet til at tilbagebetale de stjålne midler.
Efter at han var logget ind, sagde Mullenaux, at han så store mængder penge flytte mellem hans konti. Personen i telefonen fortalte ham, at der var nogen på hans konto, der aktivt forsøgte at stjæle hans penge, og at den eneste måde at holde dem sikre på var at overføre penge til banktilsynsmyndigheden, hvor de midlertidigt ville blive opbevaret, mens de sikrede hans konto.
Forfærdet over, at hans hårdt tjente opsparing var ved at blive stjålet, sagde Mullenaux, at han blev ved telefonen i næsten tre timer, fulgte alle de instruktioner, han fik, og besvarede yderligere sikkerhedsspørgsmål, han blev stillet.
CNBC har gennemgået Mullenauxs mobiloplysninger, bankkontooplysninger samt billeder af den tekstbesked og link, han blev sendt.
Et hold af svindlere
I en erklæring til CNBC, en Chase talsmand sagde: "Banker vil aldrig bede forbrugere eller virksomheder om at sende penge til sig selv eller nogen anden for at forhindre svindel, men det vil svindlere. For at bekræfte, at du virkelig taler med Chase, skal du ringe til nummeret på bagsiden af dit kort eller besøge en filial."
Cody Mullenaux, opfinderen og grundlæggeren af Aquaphant, et teknologifirma, der omdanner fugt fra luften til filtreret vand, sammen med sit team og familie.
Høflighed: Cody Mullenaux
Lille udvej for ofre for ledningssvindel
Svindlere udnyttede lovgivningsmæssige smuthuller
Sofistikeret svindeltaktik på vej frem
Det er ikke kun Chase-kunder, der er målrettet af cyberkriminelle med disse sofistikerede ordninger. Denne sidste sommer afslørede IronNet en "phishing-as-a-service" platform der sælger færdiglavede phishing-sæt til cyberkriminelle, der retter sig mod USA-baserede virksomheder, herunder banker. De tilpassede sæt kan koste så lidt som $50 pr. måned og inkluderer kode, grafik og konfigurationsfiler, der ligner bankloginsider.
Joey Fitzpatrick, en trusselsanalysechef hos IronNet, sagde, at selvom han ikke med sikkerhed kan sige, at det var sådan Mullenaux blev svindlet, "bærer angrebet mod ham alle kendetegnene for angribere, der udnytter den samme slags multimodale værktøjer, som phishing-som -en service platforme giver."
Han forventer, at tilbud af "as-a-service"-typen kun vil fortsætte med at vinde indpas, da sættene ikke kun sænker overliggeren for lavt til mellemniveau cyberkriminelle til at skabe phishing-kampagner, men det gør det også muligt for kriminelle på højere niveau at fokusere på et enkelt område og udvikle mere sofistikerede taktikker og malware.
"Vi har set en stigning på 10 % i implementeringen af phishing-sæt alene i januar 2023," sagde Fitzpatrick.
I 2022 oplevede virksomheden en stigning på 45 % i phishing-advarsler og -registreringer.
Men det er ikke kun phishing-ordninger i fremmarch, det er alle cyberangreb. Data fra Check Point viste, at der i 2022 var en stigning på 52 % i ugentlige cyberangreb på finans-/banksektoren sammenlignet med angreb i 2021.
"Sofistikeringen af cyberangreb og svindelordninger er steget markant i løbet af det sidste år," sagde Sergey Shykevich, trusselsgruppelederen hos Check Point. "Nu er cyberkriminelle i mange tilfælde ikke kun afhængige af at sende phishing/ondsindede e-mails og vente på, at folk klikker på det, men kombinere det med telefonopkald, MFA [multifaktorautentificering] træthedsangreb og mere."
Begge cybersikkerhedseksperter sagde, at banker kan gøre mere for at uddanne kunder.
Shykevich sagde, at bankerne burde investere i bedre trusselsintelligens, der kan opdage og blokere metoder, cyberkriminelle bruger. Et eksempel, han gav, er at sammenligne et login med en persons digitale "fingeraftryk", som er baseret på data såsom den browser, en konto bruger, skærmopløsning eller tastatursprog.
Bedste råd: Læg røret på
Kilde: https://www.cnbc.com/2023/02/06/phishing-as-a-service-kits-drive-uptick-in-theft-one-business-owners-story.html