„ფიშინგ-როგორც სერვისის“ კომპლექტები ზრდის ქურდობას: ერთი ბიზნესის მფლობელის ისტორია

ბანკებმა უზარმაზარი თანხები დახარჯეს კიბერუსაფრთხოებასა და თაღლითობის გამოვლენაზე, მაგრამ რა ხდება მაშინ, როდესაც კრიმინალური ტაქტიკა საკმარისად დახვეწილია, რომ ბანკის თანამშრომლებიც კი მოატყუონ? 

Cody Mullenaux-სთვის ეს ნიშნავდა 120,000 დოლარზე მეტის გატანას მისი Chase-ის საგადასახადო ანგარიშიდან, მცირე იმედით, რომ ოდესმე დააბრუნებს მის მოპარულ სახსრებს.

კალიფორნიიდან 40 წლის მცირე ბიზნესის მფლობელის, მულენოს საგა 19 დეკემბერს დაიწყო. სანამ საშობაო ყიდულობდა მისი პატარა ქალიშვილს, მას დაურეკა პირისაგან, რომელიც ამტკიცებდა, რომ ის იყო ჩეიზის თაღლითობის დეპარტამენტიდან და სთხოვდა გადამოწმებას. საეჭვო გარიგება.

800 ნომერი ემთხვეოდა Chase-ის მომხმარებელთა მომსახურებას, ამიტომ Mullenaux-ს არ მიაჩნდა საეჭვო, როდესაც პირმა სთხოვა შესულიყო მის ანგარიშში იდენტიფიკაციის მიზნებისთვის ტექსტური შეტყობინებით გაგზავნილი დაცული ბმულის მეშვეობით. ბმული ლეგიტიმურად გამოიყურებოდა და გახსნილი ვებსაიტი მისი Chase საბანკო აპლიკაციის იდენტური იყო, ამიტომ იგი შევიდა სისტემაში. 

„არც კი მიფიქრია, რომ არ ვსაუბრობდი ჩეისის ლეგიტიმურ წარმომადგენელთან“, განუცხადა მულენომ CNBC-ს.

წავიდა ის დრო, როდესაც ერთადერთი, რაზეც მომხმარებელი უნდა ყოფილიყო ფრთხილად, იყო საეჭვო ელფოსტა ან ბმული. კიბერკრიმინალების ტაქტიკა გადაკეთდა მრავალმხრივ სქემებში, სადაც მრავალი კრიმინალი მოქმედებდა როგორც გუნდი, რათა განათავსონ დახვეწილი ტაქტიკა, რომელიც მოიცავს კომპლექტებში გაყიდულ მზა პროგრამულ უზრუნველყოფას, რომელიც ფარავს ტელეფონის ნომრებს და ასახავს მსხვერპლის ბანკის შესვლის გვერდებს. ეს არის გავრცელებული საფრთხე, რომელიც კიბერუსაფრთხოების ექსპერტების თქმით, ზრდის აქტივობას. ისინი ვარაუდობენ, რომ ეს მხოლოდ გაუარესდება. სამწუხაროდ, ამ სქემების მსხვერპლისთვის ბანკს ყოველთვის არ მოეთხოვება მოპარული თანხების დაფარვა.

მას შემდეგ, რაც ის შევიდა სისტემაში, Mullenaux-მა თქვა, რომ დაინახა დიდი რაოდენობით ფული, რომელიც მოძრაობდა მის ანგარიშებს შორის. ტელეფონზე მყოფმა უთხრა, რომ ვიღაც მის ანგარიშზე აქტიურად ცდილობდა ფულის მოპარვას და რომ მისი დასაცავად ერთადერთი გზა იყო ბანკის ზედამხედველთან თანხის გადარიცხვა, სადაც ის დროებით შეინახებოდა, სანამ ისინი უზრუნველყოფდნენ მის ანგარიშს.

შეშინებულმა, რომ მისი ძნელად გამომუშავებული დანაზოგი მოპარული იყო, მულენომ თქვა, რომ ტელეფონზე თითქმის სამი საათი დარჩა, მიჰყვა ყველა მითითებას და უპასუხა უსაფრთხოების დამატებით კითხვებს. 

CNBC-მ განიხილა Mullenaux-ის ფიჭური ჩანაწერები, საბანკო ანგარიშის ინფორმაცია, ასევე მის მიერ გაგზავნილი ტექსტური შეტყობინებისა და ბმული.

ის, რაც Mullenaux-მა, რომელიც არის Aquaphant-ის გამომგონებელი და დამფუძნებელი, ტექნოლოგიური კომპანია, რომელიც ჰაერიდან ტენიანობას გაფილტრულ წყალში გარდაქმნის, არ იცოდა, ის იყო, რომ ტელეფონზე დახვეწილი კიბერდანაშაულებრივი გუნდის ნაწილი იყო.

სანამ Mullenaux ესაუბრა ამ ყალბი თაღლითობის დეპარტამენტის წარმომადგენელს, მეორე თაღლითი ასახავდა Mullenaux-ს სხვა სატელეფონო ზარზე ჩეიზთან, რათა დაემტკიცებინა საბანკო გადარიცხვები. ყველა პასუხი უსაფრთხოების კითხვებზე, რომლებსაც მულენოს დაუსვეს, შემდეგ გადაეცა მეორე თაღლითს. ეს საშუალებას აძლევდა თაღლითებს მიეცეთ სწორი პასუხები და დაერწმუნებინათ Chase-ის თანამშრომელი, რომ ისინი ესაუბრებოდნენ ანგარიშის მფლობელს.

ხუმრობამ იმუშავა. მას შემდეგ, რაც Chase-ის თანამშრომელი დარწმუნდა, რომ სწორედ Mullenoux-მა დაურეკა სამი საბანკო გადარიცხვის უფლებას, 120,000 დოლარზე მეტი გაქრა მისი საბანკო ანგარიშიდან და მიუხედავად მისი მცდელობისა, არცერთი არ იქნა აღდგენილი. 

CNBC-სთვის მიცემულ განცხადებაში ა Chase სპიკერმა თქვა: ”ბანკები არასოდეს სთხოვენ მომხმარებლებს ან ბიზნესს, გაუგზავნონ ფული საკუთარ თავს ან ვინმეს თაღლითობის თავიდან ასაცილებლად, მაგრამ თაღლითები ამას გააკეთებენ. იმის დასადასტურებლად, რომ ნამდვილად ესაუბრებით ჩეიზს, დარეკეთ თქვენი ბარათის უკანა ნომერზე ან ეწვიეთ ფილიალს.”

Mullenaux-ის თქმით, ის თავს იმედგაცრუებულად და დამარცხებულად გრძნობს იმის გამო, რომ თავისი გამოცდილება ცდილობდა მოპარული სახსრების დაბრუნებას.

„არ აქვს მნიშვნელობა რას აკეთებენ მომხმარებლების დასაცავად, თაღლითები ყოველთვის ერთი ნაბიჯით წინ არიან“, - თქვა მულენომ და დასძინა, რომ მისი ფული უფრო უსაფრთხო იქნებოდა ფეხსაცმლის ყუთში, ვიდრე დიდ ბანკში, რომელზეც კიბერკრიმინალები არიან მიზანმიმართული.

ფედერალური სავაჭრო კომისია გვირჩევს, რომ ნებისმიერ მომხმარებელს, რომელიც ფიქრობს, რომ შესაძლოა ფული გაუგზავნა თაღლითებს საბანკო გადარიცხვით, დაუყოვნებლივ დაუკავშირდეს მათ ბანკს, შეატყობინოს თაღლითური გადარიცხვის შესახებ და მოითხოვოს მისი გაუქმება.

დრო გადამწყვეტია თაღლითური საბანკო გადარიცხვით გაგზავნილი თანხების აღდგენის მცდელობისას, განუცხადა FTC-მა CNBC-ს. სააგენტოს თქმით, მსხვერპლებმა ასევე უნდა შეატყობინონ დანაშაულის შესახებ სააგენტოს, ისევე როგორც FBI-ს ინტერნეტ დანაშაულის საჩივრების ცენტრში, იმავე დღეს ან მეორე დღეს, თუ ეს შესაძლებელია. 

Mullenaux-მა თქვა, რომ მიხვდა, რომ რაღაც არასწორი იყო მეორე დილით, როდესაც მისი თანხები არ იყო დაბრუნებული მის ანგარიშზე.

ის მაშინვე გაემგზავრა თავის ადგილობრივ ჩეიზ ბანკის ფილიალში, სადაც უთხრეს, რომ სავარაუდოდ თაღლითობის მსხვერპლი იყო. Mullenaux-მა თქვა, რომ ეს საკითხი არ განიხილება გადაუდებელი მნიშვნელობით და საპირისპირო საბანკო გადარიცხვის მცდელობა, რომელსაც FTC სთავაზობს კლიენტებს მოითხოვონ, არ იყო შემოთავაზებული, როგორც ვარიანტი.

ამის ნაცვლად, Mullenaux-მა თქვა, რომ ფილიალის თანამშრომელმა უთხრა, რომ 10 დღის განმავლობაში მიიღებდა ფოსტით პაკეტს, რომელიც მას შეეძლო შეავსო საჩივრის შესატანად. მულენომ სასწრაფოდ სთხოვა პაკეტი. მან შეავსო და იმავე დღეს წარადგინა.

ეს პრეტენზია, მეორე Mullenaux-თან ერთად, რომელიც შეტანილ იქნა აღმასრულებელ ხელისუფლებაში, უარყო. თანამშრომლებმა, რომლებიც იძიებდნენ ამ საკითხს, განაცხადეს, რომ მულენომ დაურეკა საბანკო გადარიცხვების ნებართვას.

CNBC-მა ჩეიზს მიაწოდა Mullenaux-ის მობილური ტელეფონის ჩანაწერები, რომლებშიც აჩვენა, რომ ის არასოდეს დაურეკავს ჩეიზს იმ დღეს. ჩანაწერები ასევე ვარაუდობენ, რომ საბანკო გადარიცხვების ჩანაწერებთან შედარებით, არ შეიძლებოდა იყო მულენო, ვინც დაურეკა ჩეიზს საბანკო გადარიცხვების ავტორიზაციისთვის, რადგან სამივე ავტორიზებული იყო და გაიარა, სანამ მულენო ჯერ კიდევ თაღლითებთან ტელეფონზე იყო.

თუმცა, ამან არ შეცვალა ბანკის გადაწყვეტილება და ისევ Mullenaux-ის პრეტენზია უარყო, რადგან მან თავისი პირადი ინფორმაცია კრიმინალებს გაუზიარა.

გააცნობიერეს თუ არა თაღლითები ამას აკეთებდნენ თუ არა, მათ წარმატებით გამოიყენეს ორი ხარვეზი მომხმარებელთა დაცვის მიმდინარე კანონმდებლობაში, რამაც გამოიწვია ის, რომ ჩეიზს არ მოეთხოვებოდა Mullenaux-ის მოპარული სახსრების შეცვლა. ლეგალურად, ბანკებს არ უწევთ მოპარული თანხების ანაზღაურება, როდესაც კლიენტს მოატყუებენ, რომ ფული გაუგზავნონ კიბერკრიმინალს.

თუმცა, ელექტრონული სახსრების გადარიცხვის კანონის თანახმად, რომელიც მოიცავს ელექტრონული ტრანზაქციის უმეტესობას, როგორიცაა თანატოლთა გადახდები და ონლაინ გადახდები ან გადარიცხვები, ბანკებს მოეთხოვებათ გადაუხადონ კლიენტებს თანხების მოპარვისას, კლიენტის ნებართვის გარეშე. სამწუხაროდ, საბანკო გადარიცხვები, რომლებიც თანხის გადარიცხვას გულისხმობს ერთი ბანკიდან მეორეში, არ არის გათვალისწინებული აქტით, რაც ასევე გამორიცხავს თაღლითობას ქაღალდის ჩეკებთან და წინასწარ გადახდილ ბარათებთან დაკავშირებით.

კიბერკრიმინალებმა ასევე გადარიცხეს თანხები Mullenaux-ის პირადი გამშვები და შემნახველი ანგარიშებიდან მის ბიზნეს ანგარიშზე საბანკო გადარიცხვების დაწყებამდე. რეგულაცია E, რომელიც შექმნილია იმისთვის, რომ დაეხმაროს მომხმარებლებს ფულის უკან დაბრუნებაში არაავტორიზებული ტრანზაქციისგან, იცავს მხოლოდ ინდივიდებს და არა ბიზნეს ანგარიშებს.

Chase-ის წარმომადგენელმა თქვა, რომ გამოძიება მიმდინარეობს, რადგან ბანკი ცდილობს მოპარული თანხების დაბრუნებას.

ეს არის ის, რასაც Mullenaux ამბობს, რომ ის ლოცულობს. ვლოცულობ, რომ ეს ტრაგედია როგორმე შერიგდეს, [ბანკის] ხელმძღვანელობამ დაინახოს რა დამემართა და ჩემი ფული დაბრუნდეს.

Mullenaux-მა ასევე შეატყობინა ადგილობრივ პოლიციას და FBI-ს ინტერნეტ დანაშაულის საჩივრების ცენტრში, მაგრამ არც მას დაუკავშირებია მისი საქმე.

ეს არ არის მხოლოდ Chase-ის მომხმარებლები, რომლებიც სამიზნეა კიბერკრიმინალების მიერ ამ დახვეწილი სქემებით. გასულ ზაფხულს, IronNet-მა აღმოაჩინა "ფიშინგ-როგორც სერვისის" პლატფორმა რომელიც ყიდის მზა ფიშინგ კომპლექტებს კიბერკრიმინალებს, რომლებიც მიზნად ისახავს აშშ-ში დაფუძნებულ კომპანიებს, მათ შორის ბანკებს. კონფიგურირებადი ნაკრები შეიძლება ღირდეს თვეში $50 და შეიცავდეს კოდს, გრაფიკას და კონფიგურაციის ფაილებს ბანკის შესვლის გვერდების მსგავსი.

ჯოი ფიცპატრიკმა, IronNet-ის საფრთხის ანალიზის მენეჯერმა, თქვა, რომ მიუხედავად იმისა, რომ მას არ შეუძლია დანამდვილებით თქვას, რომ სწორედ ასე მოხდა მულენოს მოტყუება, ”მასზე თავდასხმა ატარებს თავდამსხმელების ყველა ნიშანს, რომლებიც იყენებენ იგივე მულტიმოდალურ ინსტრუმენტებს, როგორც ფიშინგს. -ა-სერვისის პლატფორმები უზრუნველყოფს.

ის იმედოვნებს, რომ „როგორც სერვისის“ ტიპის შეთავაზებები გააგრძელებს მიმზიდველობას, რადგან კომპლექტები არა მხოლოდ ამცირებენ დაბალი და საშუალო დონის კიბერკრიმინალების ბარიერს ფიშინგის კამპანიების შესაქმნელად, არამედ ის ასევე საშუალებას აძლევს უმაღლესი დონის დამნაშავეებს ფოკუსირება მოახდინონ. ერთ სფეროში და შეიმუშავეთ უფრო დახვეწილი ტაქტიკა და მავნე პროგრამა.

„მარტო 10 წლის იანვარში ფიშინგების ნაკრების 2023%-იანი ზრდა დავინახეთ“, - თქვა ფიცპატრიკმა.

2022 წელს კომპანიამ ფიშინგის გაფრთხილებებისა და გამოვლენის 45%-იანი ზრდა დაინახა.

მაგრამ ეს არ არის მხოლოდ ფიშინგის სქემები, რომლებიც იზრდება, ეს ყველაფერი კიბერშეტევაა. Check Point-ის მონაცემებმა აჩვენა, რომ 2022 წელს 52%-ით გაიზარდა ყოველკვირეული კიბერშეტევები საფინანსო/საბანკო სექტორზე 2021 წლის თავდასხმებთან შედარებით.

„კიბერთავდასხმების და თაღლითობის სქემების დახვეწა მნიშვნელოვნად გაიზარდა გასული წლის განმავლობაში“, - თქვა სერგეი შიკევიჩმა, Check Point-ის საფრთხის ჯგუფის მენეჯერმა. „ახლა, ხშირ შემთხვევაში კიბერკრიმინალები არ ეყრდნობიან მხოლოდ ფიშინგს/მავნე ელ.წერილს და ელოდებიან ხალხის დაწკაპუნებას, არამედ აერთიანებენ მას სატელეფონო ზარებთან, MFA [მრავალფაქტორული ავტორიზაციის] დაღლილობის შეტევებთან და სხვა.

კიბერუსაფრთხოების ორივე ექსპერტის თქმით, ბანკებს შეუძლიათ მეტი გააკეთონ მომხმარებლების განათლებისთვის. 

შიკევიჩმა თქვა, რომ ბანკებმა უნდა განახორციელონ ინვესტიციები საფრთხის უკეთეს დაზვერვაში, რომელსაც შეუძლია აღმოაჩინოს და დაბლოკოს კიბერკრიმინალების მიერ გამოყენებული მეთოდები. მაგალითი, რომელიც მან მოიყვანა, არის შესვლის შედარება პირის ციფრულ „თითის ანაბეჭდთან“, რომელიც ეფუძნება ისეთ მონაცემებს, როგორიცაა ანგარიშის მიერ გამოყენებული ბრაუზერი, ეკრანის გარჩევადობა ან კლავიატურის ენა.

იყო ერთი რამ, რაზეც ჩეიზი, ფედერალური სააგენტოები და კიბერუსაფრთხოების ექსპერტები თანხმდებოდნენ: თუ კლიენტი მიიღებს სატელეფონო ზარს მათი ბანკიდან და ის იწყებს ინფორმაციის მოთხოვნას, გათიშეთ და თავად დაურეკეთ ბანკს.

„თუ მომხმარებელი მიიღებს ზარს, ტექსტს ან ელფოსტას ვინმესგან, რომელიც აცხადებს, რომ არის მათი ბანკიდან, აფრთხილებს მათ პრობლემის შესახებ, მომხმარებელმა უნდა გათიშოს ტელეფონი (ან წაშალოს ტექსტი/ელფოსტა და არ დააჭიროს ბმულებს) და სცადეთ დარეკოთ მათ ბანკში იმ ტელეფონის ნომერზე, რომელიც მათ იციან, რომ რეალურია“, - თქვა FTC-ის წარმომადგენელმა.

კიბერკრიმინალებს აქვთ აბონენტის ID-ის გაყალბების შესაძლებლობა და მათ შეუძლიათ გამოიყენონ მოპარული პერსონალური ინფორმაცია, რათა მოატყუონ მსხვერპლი და გადასცეს ფული.

გთხოვთ, ელ.ფოსტის მითითებები [ელ.ფოსტით დაცულია]