Cody Mullenaux ve ailesi. Mullenaux, 120,000 doların çalınmasıyla sonuçlanan karmaşık bir elektronik dolandırıcılık planının kurbanıydı.
Nezaket: Cody Mullenaux
Bankalar siber güvenlik ve dolandırıcılık tespiti için muazzam meblağlar harcadı, ancak suç taktikleri banka çalışanlarını bile kandıracak kadar karmaşık olduğunda ne olur?
Cody Mullenaux için bu, Chase çek hesabından 120,000 dolardan fazla havale edilmiş olması ve çalınan fonlarını geri alma umudunun çok az olması anlamına geliyordu.
Kaliforniyalı 40 yaşında bir küçük işletme sahibi olan Mullenaux'nun destanı 19 Aralık'ta başladı. Küçük kızı için Noel alışverişi yaparken, Chase dolandırıcılık departmanından olduğunu iddia eden ve doğrulamak isteyen bir kişiden bir telefon aldı. şüpheli bir işlem
800 numara, Chase müşteri hizmetleriyle eşleşti, bu nedenle Mullenaux, kişi kimlik tespiti amacıyla kısa mesajla gönderilen güvenli bir bağlantı aracılığıyla hesabına giriş yapmasını istediğinde bunun şüpheli olduğunu düşünmedi. Bağlantı meşru görünüyordu ve açılan web sitesi Chase bankacılık uygulamasıyla aynı görünüyordu, bu yüzden giriş yaptı.
CNBC'ye konuşan Mullenaux, "Meşru bir Chase temsilcisiyle konuşmadığım aklımın ucundan bile geçmedi" dedi.
Bir tüketicinin dikkat etmesi gereken tek şeyin şüpheli bir e-posta veya bağlantı olduğu günler geride kaldı. Siber suçluların taktikleri, birden fazla suçlunun, bir kurbanın bankasının telefon numaralarını gizleyen ve oturum açma sayfalarını taklit eden kitler halinde satılan hazır yazılımları içeren karmaşık taktikleri uygulamak için bir ekip olarak hareket etmesiyle çok yönlü şemalara dönüştü. Siber güvenlik uzmanlarının söylediğine göre bu, faaliyette artışa neden olan yaygın bir tehdit. Sadece daha kötüye gideceğini tahmin ediyorlar. Ne yazık ki, bu planların kurbanları için bankanın çalınan fonları her zaman geri ödemesi gerekmemektedir.
Oturum açtıktan sonra Mullenaux, hesapları arasında büyük miktarda para dolaştığını gördüğünü söyledi. Telefondaki kişi, hesabında aktif olarak parasını çalmaya çalışan birinin olduğunu ve parayı güvende tutmanın tek yolunun, hesabını güvence altına alırken paranın geçici olarak tutulacağı banka müfettişine havale yapmak olduğunu söyledi.
Zor kazandığı birikimlerinin çalınacağından korkan Mullenaux, yaklaşık üç saat telefonda kaldığını, kendisine verilen tüm talimatları uyguladığını ve kendisine sorulan ek güvenlik sorularını yanıtladığını söyledi.
CNBC, Mullenaux'nun cep telefonu kayıtlarını, banka hesap bilgilerini ve ayrıca kendisine gönderilen kısa mesajın ve bağlantının resimlerini inceledi.
Dolandırıcılardan oluşan bir ekip
CNBC'ye yapılan açıklamada, kovalamak Sözcü, “Bankalar dolandırıcılığı önlemek için asla tüketicilerden veya işletmelerden kendilerine veya başkasına para göndermelerini istemeyecek, ancak dolandırıcılar yapacak. Gerçekten Chase ile konuştuğunuzu doğrulamak için kartınızın arkasındaki numarayı arayın veya bir şubeye gidin."
Havadaki nemi filtrelenmiş suya dönüştüren bir teknoloji şirketi olan Aquaphant'ın mucidi ve kurucusu Cody Mullenaux, ekibi ve ailesiyle birlikte.
Nezaket: Cody Mullenaux
Tel dolandırıcılığı kurbanları için küçük başvuru
Dolandırıcılar yasal boşluklardan yararlandı
Sofistike dolandırıcılık taktikleri artıyor
Siber suçlular tarafından bu karmaşık planlarla hedef alınan sadece Chase müşterileri değil. Geçtiğimiz yaz, IronNet ortaya çıkardı bir "hizmet olarak kimlik avı" platformu bankalar da dahil olmak üzere ABD merkezli şirketleri hedef alan siber suçlulara hazır kimlik avı kitleri satan. Özelleştirilebilir kitler ayda 50 ABD Doları kadar düşük bir fiyata mal olabilir ve banka oturum açma sayfalarına benzemek için kod, grafik ve yapılandırma dosyalarını içerir.
IronNet'te tehdit analizi yöneticisi olan Joey Fitzpatrick, Mullenaux'nun bu şekilde dolandırıldığını kesin olarak söyleyemese de, "ona yönelik saldırı, kimlik avı ile aynı türden çok modlu araçlardan yararlanan saldırganların tüm özelliklerini taşıyor" dedi. -a-hizmet platformları sağlar.”
"Hizmet olarak" türü tekliflerin yalnızca ilgi kazanmaya devam edeceğini umuyor çünkü kitler yalnızca düşük ve orta düzey siber suçluların kimlik avı kampanyaları oluşturma çıtasını düşürmekle kalmıyor, aynı zamanda üst düzey suçluların odaklanmasını da sağlıyor. tek bir alanda ve daha gelişmiş taktikler ve kötü amaçlı yazılımlar geliştirin.
Fitzpatrick, "Yalnızca Ocak 10'te kimlik avı kitlerinin konuşlandırılmasında %2023'luk bir artış gördük" dedi.
2022'de şirket, kimlik avı uyarılarında ve tespitlerinde %45'lik bir artış gördü.
Ancak yükselişte olan sadece kimlik avı düzenleri değil, hepsi siber saldırılar. Check Point'ten alınan veriler, 2022'de finans/bankacılık sektörüne yönelik haftalık siber saldırılarda 52'deki saldırılara kıyasla %2021'lik bir artış olduğunu gösterdi.
Check Point'in tehdit grubu yöneticisi Sergey Shykevich, "Siber saldırıların ve dolandırıcılık planlarının karmaşıklığı geçen yıl önemli ölçüde arttı" dedi. "Artık çoğu durumda siber suçlular yalnızca kimlik avı/kötü amaçlı e-postalar gönderip insanların bunu tıklamasını beklemeye değil, bunu telefon görüşmeleri, MFA [çok faktörlü kimlik doğrulama] yorgunluk saldırıları ve daha fazlasıyla birleştirmeye güveniyor."
Her iki siber güvenlik uzmanı da bankaların müşterileri eğitmek için daha fazlasını yapabileceğini söyledi.
Shykevich, bankaların siber suçluların kullandığı yöntemleri tespit edip engelleyebilecek daha iyi tehdit istihbaratına yatırım yapması gerektiğini söyledi. Verdiği bir örnek, bir hesabın kullandığı tarayıcı, ekran çözünürlüğü veya klavye dili gibi verilere dayanan bir kişinin dijital "parmak izi" ile oturum açmayı karşılaştırmaktır.
En iyi tavsiye: Telefonu kapat
Kaynak: https://www.cnbc.com/2023/02/06/phishing-as-a-service-kits-drive-uptick-in-theft-one-business-owners-story.html