Τα κιτ "phishing-as-a-service" αυξάνουν την κλοπή: Η ιστορία ενός ιδιοκτήτη επιχείρησης

Οι τράπεζες έχουν δαπανήσει τεράστια ποσά για την ασφάλεια στον κυβερνοχώρο και τον εντοπισμό απάτης, αλλά τι συμβαίνει όταν οι εγκληματικές τακτικές είναι αρκετά εξελιγμένες ώστε ακόμη και να ξεγελάσουν τους τραπεζικούς υπαλλήλους; 

Για τον Cody Mullenaux, σήμαινε ότι είχε περισσότερα από 120,000 $ συνδεδεμένα από τον τραπεζικό του λογαριασμό Chase με ελάχιστες ελπίδες να ανακτήσει ποτέ τα κλεμμένα κεφάλαιά του.

Το έπος για τον Mullenaux, έναν 40χρονο ιδιοκτήτη μικρής επιχείρησης από την Καλιφόρνια, ξεκίνησε στις 19 Δεκεμβρίου. Ενώ τα Χριστούγεννα ψώνιζε για τη μικρή του κόρη, έλαβε μια κλήση από ένα άτομο που ισχυριζόταν ότι ήταν από το τμήμα απάτης του Chase και του ζητούσε να το επαληθεύσει ύποπτη συναλλαγή.

Ο αριθμός 800 ταίριαζε με την εξυπηρέτηση πελατών Chase, οπότε ο Mullenaux δεν θεώρησε ότι ήταν ύποπτο όταν το άτομο του ζήτησε να συνδεθεί στον λογαριασμό του μέσω ενός ασφαλούς συνδέσμου που αποστέλλεται με μήνυμα κειμένου για σκοπούς αναγνώρισης. Ο σύνδεσμος φαινόταν νόμιμος και ο ιστότοπος που άνοιξε φαινόταν πανομοιότυπος με την τραπεζική του εφαρμογή Chase, οπότε συνδέθηκε. 

«Δεν μου πέρασε καν από το μυαλό ότι δεν μιλούσα με έναν νόμιμο εκπρόσωπο της Chase», είπε ο Mullenaux στο CNBC.

Πέρασαν οι εποχές που το μόνο πράγμα που έπρεπε να προσέχει ένας καταναλωτής ήταν ένα ύποπτο email ή σύνδεσμος. Οι τακτικές των κυβερνοεγκληματιών έχουν μετατραπεί σε πολλαπλά σχήματα, με πολλούς εγκληματίες να ενεργούν ως ομάδα για να αναπτύξουν εξελιγμένες τακτικές που περιλαμβάνουν έτοιμο λογισμικό που πωλείται σε κιτ που συγκαλύπτουν αριθμούς τηλεφώνου και μιμούνται τις σελίδες σύνδεσης της τράπεζας ενός θύματος. Είναι μια διάχυτη απειλή που οι ειδικοί στον τομέα της κυβερνοασφάλειας λένε ότι οδηγεί σε αύξηση της δραστηριότητας. Προβλέπουν ότι θα χειροτερέψει. Δυστυχώς, για τα θύματα αυτών των συστημάτων, η τράπεζα δεν υποχρεούται πάντα να αποπληρώσει τα κλεμμένα κεφάλαια.

Αφού συνδέθηκε, ο Mullenaux είπε ότι είδε μεγάλα χρηματικά ποσά να κινούνται μεταξύ των λογαριασμών του. Το άτομο που τηλεφώνησε του είπε ότι κάποιος βρισκόταν στον λογαριασμό του προσπαθούσε ενεργά να του κλέψει τα χρήματά του και ότι ο μόνος τρόπος για να τα κρατήσει ασφαλή ήταν να στείλει χρήματα στον επόπτη της τράπεζας, όπου θα κρατούνταν προσωρινά ενώ εξασφάλιζαν τον λογαριασμό του.

Τρομοκρατημένος ότι οι οικονομίες του που κέρδισε με κόπο επρόκειτο να κλαπούν, ο Mullenaux είπε ότι έμεινε στο τηλέφωνο για σχεδόν τρεις ώρες, ακολούθησε όλες τις οδηγίες που του δόθηκαν και απάντησε σε επιπλέον ερωτήσεις ασφαλείας που του έκαναν. 

Το CNBC εξέτασε τα αρχεία κινητής τηλεφωνίας του Mullenaux, πληροφορίες τραπεζικού λογαριασμού, καθώς και εικόνες του μηνύματος κειμένου και του συνδέσμου που του έστειλε.

Αυτό που ο Mullenaux, ο οποίος είναι ο εφευρέτης και ιδρυτής της Aquaphant, μιας εταιρείας τεχνολογίας που μετατρέπει την υγρασία από τον αέρα σε φιλτραρισμένο νερό, δεν γνώριζε ήταν ότι το άτομο στο τηλέφωνο ήταν μέρος μιας εξελιγμένης ομάδας κυβερνοεγκληματιών.

Ενώ ο Mullenaux μίλησε με αυτόν τον ψεύτικο εκπρόσωπο του τμήματος απάτης, ένας δεύτερος απατεώνας υποδυόταν τον Mullenaux σε ένα άλλο τηλεφώνημα με τον Chase για να εξουσιοδοτήσει τις τραπεζικές μεταφορές. Όλες οι απαντήσεις στις ερωτήσεις ασφαλείας που τέθηκαν στον Mullenaux μεταδόθηκαν στη συνέχεια στον δεύτερο απατεώνα. Αυτό επέτρεψε στους απατεώνες να δώσουν τις σωστές απαντήσεις και να πείσουν τον υπάλληλο της Chase ότι μιλούσαν με τον κάτοχο του λογαριασμού.

Η φάρσα λειτούργησε. Μόλις ο υπάλληλος του Chase πείστηκε ότι ήταν ο Mullenaux αυτός που κάλεσε για να εγκρίνει τα τρία τραπεζικά εμβάσματα, πάνω από 120,000 $ εξαφανίστηκαν από τον τραπεζικό του λογαριασμό και παρά τις προσπάθειές του, κανένα από αυτά δεν έχει ανακτηθεί. 

Σε δήλωση στο CNBC, α καταδίωξη Ο εκπρόσωπος είπε: «Οι τράπεζες δεν θα ζητήσουν ποτέ από τους καταναλωτές ή τις επιχειρήσεις να στείλουν χρήματα στον εαυτό τους ή σε οποιονδήποτε άλλον για να αποτρέψουν την απάτη, αλλά οι απατεώνες θα το κάνουν. Για να επιβεβαιώσετε ότι μιλάτε πραγματικά στον Chase, καλέστε τον αριθμό στο πίσω μέρος της κάρτας σας ή επισκεφτείτε ένα υποκατάστημα.»

Ο Mullenaux είπε ότι νιώθει απογοητευμένος και ηττημένος για την εμπειρία του που προσπαθεί να ανακτήσει τα κλεμμένα κεφάλαιά του.

«Ανεξάρτητα από το τι κάνουν για να προσπαθούν να προστατεύσουν τους πελάτες, οι απατεώνες είναι πάντα ένα βήμα μπροστά», είπε ο Mullenaux, προσθέτοντας ότι τα χρήματά του θα ήταν πιο ασφαλή σε ένα κουτί παπουτσιών παρά σε μια μεγάλη τράπεζα που στοχεύουν οι εγκληματίες του κυβερνοχώρου.

Η Ομοσπονδιακή Επιτροπή Εμπορίου συμβουλεύει ότι οποιοσδήποτε πελάτης πιστεύει ότι μπορεί να έχει στείλει χρήματα σε απατεώνες μέσω τραπεζικού εμβάσματος θα πρέπει να επικοινωνήσει αμέσως με την τράπεζά του, να αναφέρει τη δόλια μεταφορά και να ζητήσει την αντιστροφή της.

Ο χρόνος είναι κρίσιμος όταν προσπαθείτε να ανακτήσετε χρήματα που αποστέλλονται μέσω δόλιας τραπεζικής μεταφοράς, δήλωσε η FTC στο CNBC. Η υπηρεσία ανέφερε ότι τα θύματα θα πρέπει επίσης να αναφέρουν το έγκλημα στην υπηρεσία καθώς και στο Κέντρο Παραπόνων Διαδικτυακού Εγκλήματος του FBI, την ίδια μέρα ή την επόμενη μέρα, αν είναι δυνατόν. 

Ο Mullenaux είπε ότι συνειδητοποίησε ότι κάτι δεν πήγαινε καλά το επόμενο πρωί, όταν τα χρήματά του δεν είχαν επιστραφεί στον λογαριασμό του.

Αμέσως οδήγησε στο τοπικό υποκατάστημα της τράπεζας Chase όπου του είπαν ότι πιθανότατα είχε πέσει θύμα απάτης. Ο Mullenaux είπε ότι το θέμα δεν αντιμετωπίστηκε με καμία αίσθηση επείγουσας ανάγκης και μια προσπάθεια αντίστροφης τραπεζικής μεταφοράς, την οποία η FTC προτείνει να ζητήσουν οι πελάτες, δεν προσφέρθηκε ως επιλογή.

Αντίθετα, ο Mullenaux είπε ότι ο υπάλληλος του υποκαταστήματος του είπε ότι θα λάβει ένα πακέτο ταχυδρομικώς εντός 10 ημερών που θα μπορούσε να συμπληρώσει για να υποβάλει αξίωση. Ο Mullenaux ζήτησε αμέσως το πακέτο. Το συμπλήρωσε και το υπέβαλε την ίδια μέρα.

Αυτός ο ισχυρισμός, μαζί με έναν δεύτερο Mullenaux που κατατέθηκε στην εκτελεστική εξουσία, απορρίφθηκαν. Οι υπάλληλοι που ερευνούν το θέμα είπαν ότι ο Mullenaux είχε καλέσει για να εγκρίνει τις τραπεζικές μεταφορές.

Το CNBC παρείχε στον Chase τα αρχεία κινητού τηλεφώνου του Mullenaux που έδειχναν ότι δεν έκανε ποτέ εξερχόμενες τηλεφωνικές κλήσεις στον Chase την εν λόγω ημέρα. Τα αρχεία υποδηλώνουν επίσης, σε σύγκριση με τα αρχεία τραπεζικής μεταφοράς, ότι δεν θα μπορούσε να ήταν ο Mullenaux αυτός που κάλεσε τον Chase για να εξουσιοδοτήσει τις τραπεζικές μεταφορές, επειδή και οι τρεις ήταν εξουσιοδοτημένοι και πραγματοποιήθηκαν ενώ ο Mullenaux ήταν ακόμα στο τηλέφωνο με τους απατεώνες.

Ωστόσο, αυτό δεν άλλαξε την απόφαση της τράπεζας και, πάλι, ο ισχυρισμός του Mullenaux απορρίφθηκε καθώς είχε μοιραστεί τις προσωπικές του πληροφορίες με τους εγκληματίες.

Είτε οι απατεώνες συνειδητοποίησαν ότι το έκαναν είτε όχι, εκμεταλλεύτηκαν επιτυχώς δύο κενά στην τρέχουσα νομοθεσία για την προστασία των καταναλωτών που είχαν ως αποτέλεσμα ο Chase να μην υποχρεωθεί να αντικαταστήσει τα κλεμμένα κεφάλαια του Mullenaux. Νομικά, οι τράπεζες δεν χρειάζεται να αποζημιώνουν κλεμμένα κεφάλαια όταν ένας πελάτης εξαπατάται να στείλει χρήματα σε έναν εγκληματία του κυβερνοχώρου.

Ωστόσο, βάσει του νόμου περί ηλεκτρονικής μεταφοράς κεφαλαίων, ο οποίος καλύπτει τους περισσότερους τύπους ηλεκτρονικών συναλλαγών, όπως πληρωμές peer-to-peer και ηλεκτρονικές πληρωμές ή μεταφορές, οι τράπεζες υποχρεούνται να εξοφλούν τους πελάτες όταν κλαπούν χρήματα χωρίς την εξουσιοδότηση του πελάτη. Δυστυχώς, τα τραπεζικά εμβάσματα, τα οποία περιλαμβάνουν μεταφορά χρημάτων από μια τράπεζα σε άλλη, δεν καλύπτονται από τον νόμο, ο οποίος επίσης αποκλείει την απάτη που αφορά έντυπες επιταγές και προπληρωμένες κάρτες.

Οι κυβερνοεγκληματίες μετέφεραν επίσης κεφάλαια από τους προσωπικούς λογαριασμούς επιταγών και ταμιευτηρίου του Mullenaux στον επιχειρηματικό του λογαριασμό πριν ξεκινήσουν τις τραπεζικές μεταφορές. Ο κανονισμός Ε, ο οποίος έχει σχεδιαστεί για να βοηθά τους καταναλωτές να πάρουν τα χρήματά τους πίσω από μια μη εξουσιοδοτημένη συναλλαγή, προστατεύει μόνο άτομα και όχι επαγγελματικούς λογαριασμούς.

Ένας εκπρόσωπος της Chase είπε ότι η έρευνα βρίσκεται σε εξέλιξη καθώς η τράπεζα προσπαθεί να ανακτήσει τα κλεμμένα κεφάλαια.

Αυτό είναι κάτι για το οποίο ο Mullenaux λέει ότι προσεύχεται. «Προσεύχομαι να συμβιβαστεί κάπως αυτή η τραγωδία, να δει η διοίκηση της [τράπεζας] τι μου συνέβη και να επιστραφούν τα χρήματά μου».

Ο Mullenaux έχει επίσης υποβάλει αναφορές στην τοπική αστυνομία και στο Κέντρο Παραπόνων Διαδικτυακού Εγκλήματος του FBI, αλλά κανένας δεν έχει επικοινωνήσει μαζί του για την υπόθεσή του.

Δεν είναι μόνο οι πελάτες της Chase που στοχοποιούνται από εγκληματίες του κυβερνοχώρου με αυτά τα εξελιγμένα συστήματα. Το περασμένο καλοκαίρι, η IronNet αποκάλυψε μια πλατφόρμα «ψάρεμα ως υπηρεσία». που πουλά έτοιμα κιτ phishing σε εγκληματίες του κυβερνοχώρου που στοχεύουν εταιρείες με έδρα τις ΗΠΑ, συμπεριλαμβανομένων τραπεζών. Τα προσαρμόσιμα κιτ μπορεί να κοστίζουν μόλις 50 $ το μήνα και περιλαμβάνουν κώδικα, γραφικά και αρχεία διαμόρφωσης που μοιάζουν με σελίδες σύνδεσης τραπεζών.

Ο Joey Fitzpatrick, διευθυντής ανάλυσης απειλών στο IronNet, είπε ότι, ενώ δεν μπορεί να πει με βεβαιότητα ότι έτσι εξαπατήθηκε ο Mullenaux, «η επίθεση εναντίον του φέρει όλα τα χαρακτηριστικά των επιτιθέμενων που χρησιμοποιούν το ίδιο είδος πολυτροπικών εργαλείων όπως το phishing. -οι πλατφόρμες υπηρεσίας παρέχουν."

Αναμένει ότι οι προσφορές τύπου "ως υπηρεσία" θα συνεχίσουν να κερδίζουν έλξη, καθώς τα κιτ όχι μόνο μειώνουν τον πήχη για τους εγκληματίες του κυβερνοχώρου χαμηλής έως μεσαίας βαθμίδας για να δημιουργήσουν εκστρατείες ηλεκτρονικού "ψαρέματος", αλλά επίσης επιτρέπουν στους εγκληματίες υψηλότερης βαθμίδας να εστιάσουν σε μια ενιαία περιοχή και να αναπτύξουν πιο εξελιγμένες τακτικές και κακόβουλο λογισμικό.

"Έχουμε δει μια αύξηση 10% στην ανάπτυξη κιτ phishing μόνο τον Ιανουάριο του 2023", δήλωσε ο Fitzpatrick.

Το 2022, η εταιρεία σημείωσε αύξηση 45% στις ειδοποιήσεις και τους εντοπισμούς ηλεκτρονικού ψαρέματος.

Αλλά δεν είναι μόνο τα προγράμματα ηλεκτρονικού ψαρέματος σε άνοδο, είναι όλα κυβερνοεπιθέσεις. Τα στοιχεία από το Check Point έδειξαν ότι το 2022 σημειώθηκε αύξηση 52% στις εβδομαδιαίες κυβερνοεπιθέσεις στον χρηματοοικονομικό/τραπεζικό τομέα σε σύγκριση με τις επιθέσεις το 2021.

«Η πολυπλοκότητα των κυβερνοεπιθέσεων και των σχημάτων απάτης έχει αυξηθεί σημαντικά τον τελευταίο χρόνο», δήλωσε ο Sergey Shykevich, διευθυντής της ομάδας απειλών στο Check Point. «Τώρα, σε πολλές περιπτώσεις, οι εγκληματίες του κυβερνοχώρου δεν βασίζονται μόνο στην αποστολή ηλεκτρονικού ψαρέματος/κακόβουλων μηνυμάτων ηλεκτρονικού ταχυδρομείου και στην αναμονή των χρηστών να κάνουν κλικ σε αυτό, αλλά το συνδυάζουν με τηλεφωνικές κλήσεις, επιθέσεις κόπωσης MFA [πολυπαραγοντικός έλεγχος ταυτότητας] και άλλα».

Και οι δύο ειδικοί στον τομέα της κυβερνοασφάλειας είπαν ότι οι τράπεζες μπορούν να κάνουν περισσότερα για να εκπαιδεύσουν τους πελάτες. 

Ο Shykevich είπε ότι οι τράπεζες θα πρέπει να επενδύσουν σε καλύτερη πληροφορία απειλών που μπορεί να ανιχνεύσει και να αποκλείσει μεθόδους που χρησιμοποιούν οι εγκληματίες του κυβερνοχώρου. Ένα παράδειγμα που έδωσε είναι η σύγκριση μιας σύνδεσης με το ψηφιακό «δαχτυλικό αποτύπωμα» ενός ατόμου, το οποίο βασίζεται σε δεδομένα όπως το πρόγραμμα περιήγησης που χρησιμοποιεί ένας λογαριασμός, η ανάλυση οθόνης ή η γλώσσα πληκτρολογίου.

Υπήρχε ένα πράγμα στο οποίο ο Chase, οι ομοσπονδιακές υπηρεσίες και οι εμπειρογνώμονες στον κυβερνοχώρο συμφώνησαν: εάν ένας πελάτης λάβει ένα τηλεφώνημα από την τράπεζά του και το άτομο αρχίσει να ζητά πληροφορίες, κλείστε το τηλέφωνο και καλέστε την τράπεζα μόνοι σας.

«Αν ένας καταναλωτής λάβει μια κλήση, ένα μήνυμα κειμένου ή ένα email από οποιονδήποτε ισχυρίζεται ότι είναι από την τράπεζά του, ειδοποιώντας τον για ένα πρόβλημα, ο καταναλωτής θα πρέπει να κλείσει το τηλέφωνο (ή να διαγράψει το κείμενο/email και να μην κάνει κλικ σε συνδέσμους) και προσπαθήστε να καλέσετε την τράπεζά τους σε έναν αριθμό τηλεφώνου που γνωρίζουν ότι είναι πραγματικός», είπε ένας εκπρόσωπος της FTC.

Οι εγκληματίες του κυβερνοχώρου έχουν τη δυνατότητα να πλαστογραφούν την ταυτότητα καλούντος και ενδέχεται να χρησιμοποιήσουν κλεμμένα προσωπικά στοιχεία για να ξεγελάσουν ένα θύμα για να παραδώσει χρήματα.

Στείλτε email συμβουλές στο [προστασία μέσω email]