Ang 'Phishing-as-a-service' kit ay nagdudulot ng pagtaas sa pagnanakaw: Ang kuwento ng isang may-ari ng negosyo

Ang mga bangko ay gumastos ng napakalaking halaga sa cybersecurity at pagtuklas ng panloloko ngunit ano ang mangyayari kapag ang mga kriminal na taktika ay sapat na sopistikado upang lokohin ang mga empleyado ng bangko? 

Para kay Cody Mullenaux, nangangahulugan ito ng pagkakaroon ng higit sa $120,000 na naka-wire mula sa kanyang Chase checking account na may kaunting pag-asa na mabawi ang kanyang mga ninakaw na pondo.

Ang alamat para kay Mullenaux, isang 40-taong-gulang na may-ari ng maliit na negosyo mula sa California, ay nagsimula noong Dis. isang kahina-hinalang transaksyon.

Ang 800-number ay tumugma sa serbisyo ng customer ng Chase kaya hindi naisip ni Mullenaux na kahina-hinala ito nang hilingin sa kanya ng tao na mag-log in sa kanyang account sa pamamagitan ng isang secure na link na ipinadala sa pamamagitan ng text message para sa mga layunin ng pagkakakilanlan. Ang link ay mukhang lehitimo at ang website na nagbukas ay mukhang kapareho ng kanyang Chase banking app, kaya nag-log in siya. 

"Hindi man lang sumagi sa isip ko na hindi ako nakikipag-usap sa isang lehitimong kinatawan ng Chase," sinabi ni Mullenaux sa CNBC.

Lumipas na ang mga araw kung kailan ang tanging bagay na dapat ingatan ng isang mamimili ay isang kahina-hinalang email o link. Ang mga taktika ng cybercriminals ay naging multipronged scheme, kung saan maraming kriminal ang kumikilos bilang isang team para mag-deploy ng mga sopistikadong taktika na kinasasangkutan ng readymade software na ibinebenta sa mga kit na nagtatakip sa mga numero ng telepono at gumagaya sa mga pahina ng pag-login ng isang bangko ng biktima. Isa itong malaganap na banta na sinasabi ng mga eksperto sa cybersecurity na nagtutulak ng pagtaas ng aktibidad. Hinuhulaan nilang lalala lang ito. Sa kasamaang palad, para sa biktima ng mga scheme na ito, hindi palaging kinakailangan ng bangko na bayaran ang mga ninakaw na pondo.

Pagkatapos niyang mag-log in, sinabi ni Mullenaux na nakakita siya ng malaking halaga ng pera na gumagalaw sa pagitan ng kanyang mga account. Sinabi sa kanya ng tao sa telepono na mayroong nasa kanyang account na aktibong sinusubukang nakawin ang kanyang pera at ang tanging paraan para panatilihin itong ligtas ay mag-wire ng pera sa supervisor ng bangko, kung saan ito ay pansamantalang gaganapin habang sinisiguro nila ang kanyang account.

Sa takot na ang kanyang pinaghirapang ipon ay malapit nang manakaw, sinabi ni Mullenaux na nanatili siya sa telepono ng halos tatlong oras, sinunod ang lahat ng mga tagubilin na ibinigay sa kanya at sinagot ang mga karagdagang tanong sa seguridad na itinanong sa kanya. 

Sinuri ng CNBC ang mga cellular record ng Mullenaux, impormasyon ng bank account, pati na rin ang mga larawan ng text message at link na ipinadala sa kanya.

Ang hindi alam ni Mullenaux, na siyang imbentor at tagapagtatag ng Aquaphant, isang kumpanya ng teknolohiya na nagko-convert ng moisture mula sa hangin sa na-filter na tubig, ay bahagi ng isang sopistikadong cybercriminal team ang taong nasa telepono.

Habang nakipag-usap si Mullenaux sa pekeng departamento ng panloloko na ito, ginagaya ng pangalawang scammer si Mullenaux sa isa pang tawag sa telepono kasama si Chase para pahintulutan ang mga wire transfer. Ang lahat ng mga sagot sa mga katanungang panseguridad na itinanong kay Mullenaux ay ipinakain sa pangalawang scammer. Pinayagan nito ang mga manloloko na magbigay ng mga tamang sagot at kumbinsihin ang empleyado ng Chase na kausap nila sa may-ari ng account.

Ang panloloko ay gumana. Sa sandaling kumbinsido ang empleyado ng Chase na si Mullenaux ang tumawag para pahintulutan ang tatlong wire transfer, mahigit $120,000 ang nawala sa kanyang bank account at sa kabila ng kanyang pinakamahusay na pagsisikap ay wala ni isa sa mga ito ang nabawi. 

Sa isang pahayag sa CNBC, a habulin Sinabi ng tagapagsalita, "Hindi kailanman hihilingin ng mga bangko sa mga mamimili o negosyo na magpadala ng pera sa kanilang sarili o sinuman upang maiwasan ang pandaraya, ngunit gagawin ng mga scammer. Para kumpirmahin na talagang kausap mo si Chase, tawagan ang numero sa likod ng iyong card o bumisita sa isang branch."

Sinabi ni Mullenaux na nakakaramdam siya ng pagkabigo at pagkatalo tungkol sa kanyang karanasan sa pagsisikap na mabawi ang kanyang mga ninakaw na pondo.

"Anuman ang kanilang gawin upang subukan at pangalagaan ang mga customer, ang mga scammer ay palaging isang hakbang sa unahan," sabi ni Mullenaux, at idinagdag na ang kanyang pera ay magiging mas ligtas sa isang shoebox kaysa sa isang malaking bangko na tina-target ng mga cybercriminal.

Pinapayuhan ng Federal Trade Commission na sinumang customer na nag-iisip na maaaring nagpadala sila ng pera sa mga scammer sa pamamagitan ng wire transfer ay dapat makipag-ugnayan kaagad sa kanilang bangko, iulat ang mapanlinlang na paglilipat at hilingin na ibalik ito.

Ang oras ay kritikal kapag sinusubukang bawiin ang mga pondong ipinadala sa pamamagitan ng mapanlinlang na wire transfer, sinabi ng FTC sa CNBC. Sinabi ng ahensya na dapat ding iulat ng mga biktima ang krimen sa ahensya gayundin ang Internet Crime Complaint Center ng FBI, sa parehong araw o sa susunod na araw, kung maaari. 

Sinabi ni Mullenaux na napagtanto niyang may mali kinaumagahan nang hindi naibalik ang kanyang mga pondo sa kanyang account.

Agad siyang nagmaneho sa kanyang lokal na sangay ng bangko ng Chase kung saan sinabi sa kanya na malamang na biktima siya ng panloloko. Sinabi ni Mullenaux na ang usapin ay hindi nahawakan nang may anumang pagkaapurahan, at ang isang reverse wire transfer na pagtatangka, na iminumungkahi ng FTC na hinihiling ng mga customer, ay hindi inaalok bilang isang opsyon.

Sa halip, sinabi ni Mullenaux na sinabi sa kanya ng empleyado ng sangay na makakatanggap siya ng isang packet sa koreo sa loob ng 10 araw na maaari niyang punan para maghain ng claim. Agad namang hiningi ni Mullenaux ang pakete. Pinunan niya ito at isinumite sa parehong araw.

Ang paghahabol na iyon, kasama ang pangalawang Mullenaux na isinampa sa executive branch, ay tinanggihan. Sinabi ng mga empleyadong nag-iimbestiga sa bagay na tumawag si Mullenaux para pahintulutan ang mga wire transfer.

Binigyan ng CNBC si Chase ng mga talaan ng cellular phone ni Mullenaux na nagpakita na hindi siya kailanman gumawa ng anumang mga papalabas na tawag sa telepono kay Chase sa araw na pinag-uusapan. Iminumungkahi din ng mga rekord, kung ihahambing sa mga rekord ng wire transfer, na hindi maaaring si Mullenaux ang tumawag kay Chase para pahintulutan ang mga wire transfer dahil ang tatlo ay pinahintulutan at dumaan habang si Mullenaux ay nakikipag-usap pa rin sa mga scammer.

Gayunpaman, hindi nito binago ang desisyon ng bangko at, muli, ang paghahabol ni Mullenaux ay tinanggihan dahil ibinahagi niya ang kanyang pribadong impormasyon sa mga kriminal.

Napagtanto man ng mga scammer na ginagawa nila ito o hindi, matagumpay nilang pinagsamantalahan ang dalawang butas sa kasalukuyang batas sa proteksyon ng consumer na nagresulta sa hindi kinakailangang palitan ni Chase ang mga ninakaw na pondo ni Mullenaux. Sa legal, hindi kailangang ibalik ng mga bangko ang mga ninakaw na pondo kapag nalinlang ang isang customer sa pagpapadala ng pera sa isang cybercriminal.

Gayunpaman, sa ilalim ng Electronic Fund Transfer Act, na sumasaklaw sa karamihan ng mga uri ng mga elektronikong transaksyon tulad ng mga pagbabayad ng peer-to-peer at mga online na pagbabayad o paglilipat, kinakailangan ng mga bangko na bayaran ang mga customer kapag ninakaw ang mga pondo nang hindi ito pinahihintulutan ng customer. Sa kasamaang palad, ang mga wire transfer, na kinabibilangan ng paglilipat ng pera mula sa isang bangko patungo sa isa pa, ay hindi saklaw ng batas, na hindi rin kasama ang pandaraya na kinasasangkutan ng mga tseke ng papel at mga prepaid na card.

Naglipat din ang mga cybercriminal ng mga pondo mula sa mga personal na checking at savings account ni Mullenaux sa kanyang account sa negosyo bago simulan ang mga wire transfer. Ang Regulasyon E, na idinisenyo upang tulungan ang mga consumer na maibalik ang kanilang pera mula sa isang hindi awtorisadong transaksyon, pinoprotektahan lamang ang mga indibidwal, hindi ang mga account ng negosyo.

Sinabi ng isang kinatawan para kay Chase na nagpapatuloy ang imbestigasyon habang sinusubukan ng bangko na mabawi ang mga ninakaw na pondo.

Iyon ang sinasabi ni Mullenaux na ipinagdarasal niya. “I pray that this tragedy is somehow reconciled, that [bank] management see what happened to me and my money is return.”

Naghain din si Mullenaux ng mga ulat sa lokal na pulisya at sa Internet Crime Complaint Center ng FBI, ngunit hindi rin siya nakipag-ugnayan sa kanya tungkol sa kanyang kaso.

Hindi lang mga customer ng Chase ang tina-target ng mga cybercriminal gamit ang mga sopistikadong scheme na ito. Nitong nakaraang tag-araw, natuklasan ng IronNet isang "phishing-as-a-service" na platform na nagbebenta ng mga handa na phishing kit sa mga cybercriminal na nagta-target sa mga kumpanyang nakabase sa US, kabilang ang mga bangko. Ang mga nako-customize na kit ay maaaring nagkakahalaga ng kasing liit ng $50 bawat buwan at may kasamang code, mga graphics at configuration file upang maging katulad ng mga pahina sa pag-log in sa bangko.

Sinabi ni Joey Fitzpatrick, isang threat analysis manager sa IronNet, na bagama't hindi niya matiyak na ganito ang paraan ng pagdaraya kay Mullenaux, "ang pag-atake laban sa kanya ay nagtataglay ng lahat ng mga palatandaan ng mga umaatake na gumagamit ng parehong uri ng mga multimodal na tool na phishing-as -ibinibigay ng mga platform ng serbisyo.”

Inaasahan niya na ang mga handog na "bilang-isang-serbisyo" ay magpapatuloy lamang na makakuha ng traksyon dahil hindi lamang ibinababa ng mga kit ang bar para sa mga cybercriminal na mababa hanggang katamtamang antas upang lumikha ng mga kampanya sa phishing, ngunit binibigyang-daan din nito ang mga mas mataas na antas na kriminal na tumuon. sa isang lugar at bumuo ng mas sopistikadong mga taktika at malware.

"Nakakita kami ng 10% na pagtaas sa pag-deploy ng mga phishing kit noong Enero 2023 lamang," sabi ni Fitzpatrick.

Noong 2022, nakakita ang kumpanya ng 45% na pagtaas sa mga alerto at detection ng phishing.

Ngunit ito ay hindi lamang phishing scheme sa pagtaas, ito ay ang lahat ng cyberattacks. Ang data mula sa Check Point ay nagpakita noong 2022 na mayroong 52% na pagtaas sa lingguhang cyberattacks sa sektor ng pananalapi/pagbabangko kumpara sa mga pag-atake noong 2021.

"Ang pagiging sopistikado ng cyberattacks at mga scheme ng pandaraya ay tumaas nang malaki noong nakaraang taon," sabi ni Sergey Shykevich, ang tagapamahala ng grupo ng pagbabanta sa Check Point. “Ngayon, sa maraming kaso, ang mga cybercriminal ay hindi lamang umaasa sa pagpapadala ng phishing/malicious emails at naghihintay na i-click ito ng mga tao, ngunit pinagsama ito sa mga tawag sa telepono, MFA [multifactor authentication] fatigue attacks at higit pa.”

Ang parehong mga eksperto sa cybersecurity ay nagsabi na ang mga bangko ay maaaring gumawa ng higit pa upang turuan ang mga customer. 

Sinabi ni Shykevich na ang mga bangko ay dapat mamuhunan sa mas mahusay na katalinuhan sa pagbabanta na maaaring makakita at harangan ang mga pamamaraan na ginagamit ng mga cybercriminal. Ang isang halimbawang ibinigay niya ay ang paghahambing ng login sa digital na “fingerprint” ng isang tao, na nakabatay sa data gaya ng browser na ginagamit ng isang account, resolution ng screen o wika ng keyboard.

May isang bagay na pinagkasunduan ni Chase, mga pederal na ahensya at mga eksperto sa cybersecurity: kung ang isang customer ay nakatanggap ng tawag sa telepono mula sa kanilang bangko at ang tao ay nagsimulang humingi ng impormasyon, ibaba ang tawag at tawagan ang bangko sa iyong sarili.

“Kung ang isang mamimili ay nakatanggap ng tawag, text o email nang biglaan mula sa sinumang nag-aangking mula sa kanilang bangko, na nag-aalerto sa kanila tungkol sa isang problema, dapat na ibababa ng consumer ang tawag (o tanggalin ang text/email at huwag mag-click sa mga link) at subukang tawagan ang kanilang bangko sa isang numero ng telepono na alam nilang totoo,” sabi ng isang tagapagsalita ng FTC.

May kakayahan ang mga cybercriminal na manloko ng caller ID at maaari silang gumamit ng ninakaw na personal na impormasyon upang linlangin ang isang biktima na mag-abot ng pera.

Mangyaring mag-email ng mga tip sa [protektado ng email]