'Phishing-som-en-service'-sæt øger antallet af tyveri: En virksomhedsejers historie

Banker har brugt enorme beløb på cybersikkerhed og afsløring af svindel, men hvad sker der, når kriminelle taktikker er sofistikerede nok til selv at narre bankansatte? 

For Cody Mullenaux betød det at have overført mere end $120,000 fra sin Chase checkkonto med lidt håb om nogensinde at få sine stjålne penge tilbage.

Sagaen om Mullenaux, en 40-årig ejer af en lille virksomhed fra Californien, begyndte den 19. december. Mens han juleshoppede for sin unge datter, modtog han et opkald fra en person, der hævdede at være fra Chase-svindelafdelingen og bad om at få bekræftet en mistænkelig transaktion.

800-nummeret matchede Chase kundeservice, så Mullenaux mente ikke, at det var mistænkeligt, da personen bad ham om at logge ind på sin konto via et sikret link sendt med sms til identifikationsformål. Linket så legitimt ud, og hjemmesiden, der åbnede, så ud til at være identisk med hans Chase-bankapp, så han loggede ind. 

"Det slog mig aldrig op, at jeg ikke talte med en legitim Chase-repræsentant," sagde Mullenaux til CNBC.

De dage er forbi, hvor det eneste, en forbruger skulle være på vagt over for, var en mistænkelig e-mail eller et mistænkeligt link. Cyberkriminelles taktik er blevet til flerstrengede ordninger, hvor flere kriminelle agerer som et team for at implementere sofistikerede taktikker, der involverer færdiglavet software, der sælges i sæt, der maskerer telefonnumre og efterligner login-sider i et offers bank. Det er en gennemgribende trussel, som cybersikkerhedseksperter siger, driver en stigning i aktiviteten. De forudser, at det kun vil blive værre. Desværre, for ofre for disse ordninger, er banken ikke altid forpligtet til at tilbagebetale de stjålne midler.

Efter at han var logget ind, sagde Mullenaux, at han så store mængder penge flytte mellem hans konti. Personen i telefonen fortalte ham, at der var nogen på hans konto, der aktivt forsøgte at stjæle hans penge, og at den eneste måde at holde dem sikre på var at overføre penge til banktilsynsmyndigheden, hvor de midlertidigt ville blive opbevaret, mens de sikrede hans konto.

Forfærdet over, at hans hårdt tjente opsparing var ved at blive stjålet, sagde Mullenaux, at han blev ved telefonen i næsten tre timer, fulgte alle de instruktioner, han fik, og besvarede yderligere sikkerhedsspørgsmål, han blev stillet. 

CNBC har gennemgået Mullenauxs mobiloplysninger, bankkontooplysninger samt billeder af den tekstbesked og link, han blev sendt.

Hvad Mullenaux, der er opfinder og grundlægger af Aquaphant, et teknologifirma, der omdanner fugt fra luften til filtreret vand, ikke vidste, var, at personen i telefonen var en del af et sofistikeret cyberkriminelt team.

Mens Mullenaux talte med denne falske repræsentant for svindelafdelingen, efterlignede en anden svindler sig som Mullenaux ved endnu et telefonopkald med Chase for at godkende bankoverførslerne. Alle svarene på sikkerhedsspørgsmålene, Mullenaux blev stillet, blev derefter sendt til den anden svindler. Dette gjorde det muligt for svindlerne at give de rigtige svar og overbevise Chase-medarbejderen om, at de talte med kontohaveren.

Svindlen virkede. Da Chase-medarbejderen var overbevist om, at det var Mullenaux, der ringede for at godkende de tre bankoverførsler, forsvandt over $120,000 fra hans bankkonto, og på trods af hans bedste anstrengelser er intet af det blevet tjent tilbage. 

I en erklæring til CNBC, en Chase talsmand sagde: "Banker vil aldrig bede forbrugere eller virksomheder om at sende penge til sig selv eller nogen anden for at forhindre svindel, men det vil svindlere. For at bekræfte, at du virkelig taler med Chase, skal du ringe til nummeret på bagsiden af ​​dit kort eller besøge en filial."

Mullenaux sagde, at han føler sig frustreret og besejret over sin oplevelse med at forsøge at inddrive sine stjålne midler.

"Uanset hvad de gør for at forsøge at beskytte kunderne, er svindlere altid et skridt foran," sagde Mullenaux og tilføjede, at hans penge ville have været sikrere i en skoæske end i en stor bank, som cyberkriminelle er rettet mod.

Federal Trade Commission råder til, at enhver kunde, der tror, ​​de kunne have sendt penge til svindlere via en bankoverførsel, straks skal kontakte deres bank, rapportere den svigagtige overførsel og bede om at få den tilbageført.

Tiden er kritisk, når man forsøger at inddrive penge sendt via svigagtig bankoverførsel, fortalte FTC CNBC. Agenturet sagde, at ofrene også skulle rapportere forbrydelsen til agenturet samt FBI's Internet Crime Complaint Center, samme dag eller næste dag, hvis det er muligt. 

Mullenaux sagde, at han indså, at der var noget galt næste morgen, da hans penge ikke var blevet returneret til hans konto.

Han kørte straks til sin lokale Chase-bankafdeling, hvor han fik at vide, at han sandsynligvis havde været udsat for bedrageri. Mullenaux sagde, at sagen ikke blev håndteret med nogen følelse af uopsættelighed, og et omvendt bankoverførselsforsøg, som FTC foreslår, at kunder beder om, ikke blev tilbudt som en mulighed.

I stedet sagde Mullenaux, at filialens ansatte fortalte ham, at han ville modtage en pakke med posten inden for 10 dage, som han kunne udfylde for at indgive et krav. Mullenaux bad om pakken med det samme. Han udfyldte det og sendte det samme dag.

Denne påstand, sammen med en anden Mullenaux indgivet til den udøvende magt, blev afvist. De ansatte, der undersøgte sagen, sagde, at Mullenaux havde ringet for at godkende bankoverførslerne.

CNBC forsynede Chase med Mullenauxs mobiltelefonoptegnelser, der viste, at han aldrig foretog nogen udgående telefonopkald til Chase på den pågældende dag. Optegnelserne tyder også på, sammenlignet med bankoverførslerne, at det ikke kunne have været Mullenaux, der ringede til Chase for at godkende bankoverførslerne, fordi alle tre var godkendte og gik igennem, mens Mullenaux stadig var i telefon med svindlerne.

Det ændrede dog ikke bankens beslutning, og igen blev Mullenauxs krav afvist, da han havde delt sine private oplysninger med de kriminelle.

Uanset om svindlerne indså, at de gjorde det eller ej, udnyttede de to smuthuller i den nuværende forbrugerbeskyttelseslovgivning, der resulterede i, at Chase ikke blev forpligtet til at erstatte Mullenauxs stjålne midler. Juridisk set behøver bankerne ikke at tilbagebetale stjålne penge, når en kunde bliver narret til at sende penge til en cyberkriminel.

I henhold til loven om elektronisk pengeoverførsel, som dækker de fleste typer elektroniske transaktioner som peer-to-peer-betalinger og onlinebetalinger eller -overførsler, er banker dog forpligtet til at tilbagebetale kunder, når penge bliver stjålet, uden at kunden godkender det. Desværre er bankoverførsler, som involverer overførsel af penge fra en bank til en anden, ikke omfattet af loven, som også udelukker svindel, der involverer papirchecks og forudbetalte kort.

De cyberkriminelle overførte også penge fra Mullenauxs personlige check- og opsparingskonti til hans virksomhedskonto, før de påbegyndte bankoverførslerne. Forordning E, som er designet til at hjælpe forbrugere med at få deres penge tilbage fra en uautoriseret transaktion, beskytter kun enkeltpersoner, ikke virksomhedskonti.

En repræsentant for Chase sagde, at efterforskningen er i gang, da banken forsøger at inddrive de stjålne midler.

Det er noget, Mullenaux siger, at han beder om. "Jeg beder til, at denne tragedie på en eller anden måde bliver forenet, at [bank-]ledelsen ser, hvad der skete med mig, og at mine penge bliver returneret."

Mullenaux har også indgivet anmeldelser til det lokale politi og FBI's Internet Crime Complaint Center, men ingen af ​​dem har kontaktet ham om hans sag.

Det er ikke kun Chase-kunder, der er målrettet af cyberkriminelle med disse sofistikerede ordninger. Denne sidste sommer afslørede IronNet en "phishing-as-a-service" platform der sælger færdiglavede phishing-sæt til cyberkriminelle, der retter sig mod USA-baserede virksomheder, herunder banker. De tilpassede sæt kan koste så lidt som $50 pr. måned og inkluderer kode, grafik og konfigurationsfiler, der ligner bankloginsider.

Joey Fitzpatrick, en trusselsanalysechef hos IronNet, sagde, at selvom han ikke med sikkerhed kan sige, at det var sådan Mullenaux blev svindlet, "bærer angrebet mod ham alle kendetegnene for angribere, der udnytter den samme slags multimodale værktøjer, som phishing-som -en service platforme giver."

Han forventer, at tilbud af "as-a-service"-typen kun vil fortsætte med at vinde indpas, da sættene ikke kun sænker overliggeren for lavt til mellemniveau cyberkriminelle til at skabe phishing-kampagner, men det gør det også muligt for kriminelle på højere niveau at fokusere på et enkelt område og udvikle mere sofistikerede taktikker og malware.

"Vi har set en stigning på 10 % i implementeringen af ​​phishing-sæt alene i januar 2023," sagde Fitzpatrick.

I 2022 oplevede virksomheden en stigning på 45 % i phishing-advarsler og -registreringer.

Men det er ikke kun phishing-ordninger i fremmarch, det er alle cyberangreb. Data fra Check Point viste, at der i 2022 var en stigning på 52 % i ugentlige cyberangreb på finans-/banksektoren sammenlignet med angreb i 2021.

"Sofistikeringen af ​​cyberangreb og svindelordninger er steget markant i løbet af det sidste år," sagde Sergey Shykevich, trusselsgruppelederen hos Check Point. "Nu er cyberkriminelle i mange tilfælde ikke kun afhængige af at sende phishing/ondsindede e-mails og vente på, at folk klikker på det, men kombinere det med telefonopkald, MFA [multifaktorautentificering] træthedsangreb og mere."

Begge cybersikkerhedseksperter sagde, at banker kan gøre mere for at uddanne kunder. 

Shykevich sagde, at bankerne burde investere i bedre trusselsintelligens, der kan opdage og blokere metoder, cyberkriminelle bruger. Et eksempel, han gav, er at sammenligne et login med en persons digitale "fingeraftryk", som er baseret på data såsom den browser, en konto bruger, skærmopløsning eller tastatursprog.

Der var én ting, som Chase, føderale agenturer og cybersikkerhedseksperter alle var enige om: Hvis en kunde modtager et telefonopkald fra deres bank, og personen begynder at bede om oplysninger, skal du lægge på og selv ringe tilbage til banken.

"Hvis en forbruger får et opkald, sms eller e-mail ud af det blå fra nogen, der hævder at være fra deres bank, og gør dem opmærksomme på et problem, skal forbrugeren lægge på (eller slette teksten/e-mailen og ikke klikke på links) og prøv at ringe til deres bank på et telefonnummer, som de ved er ægte,” sagde en talsmand for FTC.

Cyberkriminelle har mulighed for at forfalske opkalds-id, og de kan bruge stjålne personlige oplysninger til at narre et offer til at udlevere penge.

Venligst mail tip til [e-mail beskyttet]