"Hizmet olarak kimlik avı" kitleri hırsızlıkta artışa neden oluyor: Bir işletme sahibinin hikayesi

Bankalar siber güvenlik ve dolandırıcılık tespiti için muazzam meblağlar harcadı, ancak suç taktikleri banka çalışanlarını bile kandıracak kadar karmaşık olduğunda ne olur? 

Cody Mullenaux için bu, Chase çek hesabından 120,000 dolardan fazla havale edilmiş olması ve çalınan fonlarını geri alma umudunun çok az olması anlamına geliyordu.

Kaliforniyalı 40 yaşında bir küçük işletme sahibi olan Mullenaux'nun destanı 19 Aralık'ta başladı. Küçük kızı için Noel alışverişi yaparken, Chase dolandırıcılık departmanından olduğunu iddia eden ve doğrulamak isteyen bir kişiden bir telefon aldı. şüpheli bir işlem

800 numara, Chase müşteri hizmetleriyle eşleşti, bu nedenle Mullenaux, kişi kimlik tespiti amacıyla kısa mesajla gönderilen güvenli bir bağlantı aracılığıyla hesabına giriş yapmasını istediğinde bunun şüpheli olduğunu düşünmedi. Bağlantı meşru görünüyordu ve açılan web sitesi Chase bankacılık uygulamasıyla aynı görünüyordu, bu yüzden giriş yaptı. 

CNBC'ye konuşan Mullenaux, "Meşru bir Chase temsilcisiyle konuşmadığım aklımın ucundan bile geçmedi" dedi.

Bir tüketicinin dikkat etmesi gereken tek şeyin şüpheli bir e-posta veya bağlantı olduğu günler geride kaldı. Siber suçluların taktikleri, birden fazla suçlunun, bir kurbanın bankasının telefon numaralarını gizleyen ve oturum açma sayfalarını taklit eden kitler halinde satılan hazır yazılımları içeren karmaşık taktikleri uygulamak için bir ekip olarak hareket etmesiyle çok yönlü şemalara dönüştü. Siber güvenlik uzmanlarının söylediğine göre bu, faaliyette artışa neden olan yaygın bir tehdit. Sadece daha kötüye gideceğini tahmin ediyorlar. Ne yazık ki, bu planların kurbanları için bankanın çalınan fonları her zaman geri ödemesi gerekmemektedir.

Oturum açtıktan sonra Mullenaux, hesapları arasında büyük miktarda para dolaştığını gördüğünü söyledi. Telefondaki kişi, hesabında aktif olarak parasını çalmaya çalışan birinin olduğunu ve parayı güvende tutmanın tek yolunun, hesabını güvence altına alırken paranın geçici olarak tutulacağı banka müfettişine havale yapmak olduğunu söyledi.

Zor kazandığı birikimlerinin çalınacağından korkan Mullenaux, yaklaşık üç saat telefonda kaldığını, kendisine verilen tüm talimatları uyguladığını ve kendisine sorulan ek güvenlik sorularını yanıtladığını söyledi. 

CNBC, Mullenaux'nun cep telefonu kayıtlarını, banka hesap bilgilerini ve ayrıca kendisine gönderilen kısa mesajın ve bağlantının resimlerini inceledi.

Havadaki nemi filtrelenmiş suya dönüştüren bir teknoloji şirketi olan Aquaphant'ın mucidi ve kurucusu olan Mullenaux, telefondaki kişinin gelişmiş bir siber suç ekibinin parçası olduğunu bilmiyordu.

Mullenaux bu sahte dolandırıcılık departmanı temsilcisiyle konuşurken, ikinci bir dolandırıcı, banka havalelerini yetkilendirmek için Chase ile yapılan başka bir telefon görüşmesinde Mullenaux'nun kimliğine bürünüyordu. Mullenaux'ya sorulan güvenlik sorularının tüm yanıtları daha sonra ikinci dolandırıcıya iletiliyordu. Bu, dolandırıcıların doğru yanıtları vermesine ve Chase çalışanını hesap sahibiyle konuştuklarına ikna etmesine olanak sağladı.

Hile işe yaradı. Chase çalışanı, üç banka havalesini yetkilendirmek için arayan kişinin Mullenaux olduğuna ikna olduğunda, banka hesabından 120,000 dolardan fazla para kayboldu ve tüm çabalarına rağmen hiçbiri telafi edilmedi. 

CNBC'ye yapılan açıklamada, kovalamak Sözcü, “Bankalar dolandırıcılığı önlemek için asla tüketicilerden veya işletmelerden kendilerine veya başkasına para göndermelerini istemeyecek, ancak dolandırıcılar yapacak. Gerçekten Chase ile konuştuğunuzu doğrulamak için kartınızın arkasındaki numarayı arayın veya bir şubeye gidin."

Mullenaux, çalınan fonlarını geri almaya çalışırken yaşadığı deneyimden dolayı hüsrana uğradığını ve yenildiğini hissettiğini söyledi.

"Müşterileri korumak için ne yaparlarsa yapsınlar, dolandırıcılar her zaman bir adım öndedir" diyen Mullenaux, parasının siber suçluların hedef aldığı büyük bir bankadansa bir ayakkabı kutusunda daha güvende olacağını da sözlerine ekledi.

Federal Ticaret Komisyonu, dolandırıcılara banka havalesi yoluyla para göndermiş olabileceğini düşünen herhangi bir müşterinin derhal bankasıyla iletişime geçmesini, hileli transferi bildirmesini ve geri alınmasını istemesini tavsiye ediyor.

FTC, CNBC'ye verdiği demeçte, hileli banka havalesi yoluyla gönderilen fonları geri almaya çalışırken zamanın kritik olduğunu söyledi. Ajans, mağdurların suçu aynı gün veya mümkünse ertesi gün ajansa ve FBI'ın İnternet Suçları Şikayet Merkezi'ne bildirmesi gerektiğini söyledi. 

Mullenaux, ertesi sabah fonları hesabına iade edilmediğinde bir şeylerin ters gittiğini anladığını söyledi.

Hemen yerel Chase banka şubesine gitti ve burada kendisine muhtemelen dolandırıcılığın kurbanı olduğu söylendi. Mullenaux, konunun herhangi bir aciliyet duygusuyla ele alınmadığını ve FTC'nin müşterilerin talep etmesini önerdiği bir ters havale girişiminin bir seçenek olarak sunulmadığını söyledi.

Bunun yerine Mullenaux, şube çalışanının kendisine 10 gün içinde postayla bir talepte bulunmak için doldurabileceği bir paket alacağını söylediğini söyledi. Mullenaux hemen paketi istedi. Aynı gün doldurup teslim etti.

Bu iddia, Mullenaux'nun yürütme organına sunduğu ikinci bir iddiayla birlikte reddedildi. Konuyu araştıran çalışanlar, Mullenaux'nun banka havalelerine izin vermek için aradığını söyledi.

CNBC, Chase'e Mullenaux'nun söz konusu günde Chase'e hiç arama yapmadığını gösteren cep telefonu kayıtlarını sağladı. Kayıtlar ayrıca, banka havalesi kayıtlarıyla karşılaştırıldığında, banka havalelerine izin vermek için Chase'i arayanın Mullenaux olamayacağını çünkü üçünün de yetkilendirildiğini ve Mullenaux hala dolandırıcılarla telefondayken geçti.

Ancak bu, bankanın kararını değiştirmedi ve yine Mullenaux'nun iddiası, özel bilgilerini suçlularla paylaştığı için reddedildi.

Dolandırıcılar bunu yaptıklarını fark etseler de etmeseler de, Chase'in Mullenaux'nun çalınan fonlarını değiştirmesi gerekmemesine neden olan mevcut tüketiciyi koruma mevzuatındaki iki boşluktan başarıyla yararlandılar. Yasal olarak, bir müşteri bir siber suçluya para göndermesi için kandırıldığında bankaların çalınan fonları tazmin etmesi gerekmez.

Bununla birlikte, eşler arası ödemeler ve çevrimiçi ödemeler veya transferler gibi çoğu elektronik işlem türünü kapsayan Elektronik Fon Transferi Yasası uyarınca, bankaların, müşteri yetkilendirmeden fon çalındığında müşterilere geri ödeme yapmaları gerekmektedir. Ne yazık ki, bir bankadan diğerine para transferini içeren banka havaleleri, kağıt çekler ve ön ödemeli kartlar içeren dolandırıcılığı da dışlayan kanun kapsamında değildir.

Siber suçlular ayrıca banka havalelerini başlatmadan önce Mullenaux'nun kişisel çek ve tasarruf hesaplarından iş hesabına para aktardı. Tüketicilerin yetkisiz bir işlemden paralarını geri almalarına yardımcı olmak için tasarlanan E Yönetmeliği, ticari hesapları değil, yalnızca bireyleri korur.

Chase'in bir temsilcisi, banka çalınan fonları geri almaya çalışırken soruşturmanın devam ettiğini söyledi.

Mullenaux bunun için dua ettiğini söylüyor. "Bu trajedinin bir şekilde telafi edilmesi, [banka] yönetiminin başıma gelenleri görmesi ve paramın iade edilmesi için dua ediyorum."

Mullenaux ayrıca yerel polise ve FBI'ın İnternet Suçları Şikayet Merkezi'ne şikayette bulundu, ancak ikisi de davasıyla ilgili olarak onunla iletişime geçmedi.

Siber suçlular tarafından bu karmaşık planlarla hedef alınan sadece Chase müşterileri değil. Geçtiğimiz yaz, IronNet ortaya çıkardı bir "hizmet olarak kimlik avı" platformu bankalar da dahil olmak üzere ABD merkezli şirketleri hedef alan siber suçlulara hazır kimlik avı kitleri satan. Özelleştirilebilir kitler ayda 50 ABD Doları kadar düşük bir fiyata mal olabilir ve banka oturum açma sayfalarına benzemek için kod, grafik ve yapılandırma dosyalarını içerir.

IronNet'te tehdit analizi yöneticisi olan Joey Fitzpatrick, Mullenaux'nun bu şekilde dolandırıldığını kesin olarak söyleyemese de, "ona yönelik saldırı, kimlik avı ile aynı türden çok modlu araçlardan yararlanan saldırganların tüm özelliklerini taşıyor" dedi. -a-hizmet platformları sağlar.”

"Hizmet olarak" türü tekliflerin yalnızca ilgi kazanmaya devam edeceğini umuyor çünkü kitler yalnızca düşük ve orta düzey siber suçluların kimlik avı kampanyaları oluşturma çıtasını düşürmekle kalmıyor, aynı zamanda üst düzey suçluların odaklanmasını da sağlıyor. tek bir alanda ve daha gelişmiş taktikler ve kötü amaçlı yazılımlar geliştirin.

Fitzpatrick, "Yalnızca Ocak 10'te kimlik avı kitlerinin konuşlandırılmasında %2023'luk bir artış gördük" dedi.

2022'de şirket, kimlik avı uyarılarında ve tespitlerinde %45'lik bir artış gördü.

Ancak yükselişte olan sadece kimlik avı düzenleri değil, hepsi siber saldırılar. Check Point'ten alınan veriler, 2022'de finans/bankacılık sektörüne yönelik haftalık siber saldırılarda 52'deki saldırılara kıyasla %2021'lik bir artış olduğunu gösterdi.

Check Point'in tehdit grubu yöneticisi Sergey Shykevich, "Siber saldırıların ve dolandırıcılık planlarının karmaşıklığı geçen yıl önemli ölçüde arttı" dedi. "Artık çoğu durumda siber suçlular yalnızca kimlik avı/kötü amaçlı e-postalar gönderip insanların bunu tıklamasını beklemeye değil, bunu telefon görüşmeleri, MFA [çok faktörlü kimlik doğrulama] yorgunluk saldırıları ve daha fazlasıyla birleştirmeye güveniyor."

Her iki siber güvenlik uzmanı da bankaların müşterileri eğitmek için daha fazlasını yapabileceğini söyledi. 

Shykevich, bankaların siber suçluların kullandığı yöntemleri tespit edip engelleyebilecek daha iyi tehdit istihbaratına yatırım yapması gerektiğini söyledi. Verdiği bir örnek, bir hesabın kullandığı tarayıcı, ekran çözünürlüğü veya klavye dili gibi verilere dayanan bir kişinin dijital "parmak izi" ile oturum açmayı karşılaştırmaktır.

Chase, federal kurumlar ve siber güvenlik uzmanlarının üzerinde hemfikir olduğu bir şey vardı: Bir müşteri bankasından bir telefon alırsa ve kişi bilgi istemeye başlarsa, telefonu kapatın ve bankayı kendiniz arayın.

“Bir tüketici, bankasından olduğunu iddia eden herhangi birinden durup dururken bir arama, kısa mesaj veya e-posta alırsa, onu bir sorunla ilgili olarak uyarırsa, tüketici telefonu kapatmalı (veya metni/e-postayı silmeli ve bağlantıları tıklatmamalıdır) ve bankalarını gerçek olduğunu bildikleri bir telefon numarasından aramayı deneyin," dedi bir FTC sözcüsü.

Siber suçlular, arayanın kimliğini taklit etme yeteneğine sahiptir ve çalınan kişisel bilgileri, bir kurbanı kandırarak para vermesi için kullanabilirler.

Lütfen adresine e-posta gönderin [e-posta korumalı]