Cody Mullenaux og fjölskylda hans. Mullenaux var fórnarlamb háþróaðs vírsvikakerfis sem hefur leitt til þess að $120,000 var stolið
Höfundur: Cody Mullenaux
Bankar hafa eytt gífurlegum fjárhæðum í netöryggi og uppgötvun svika en hvað gerist þegar glæpaaðferðir eru nógu háþróaðar til að jafnvel blekkja bankastarfsmenn?
Fyrir Cody Mullenaux þýddi það að hafa meira en $120,000 hlerað frá Chase tékkareikningnum sínum með litla von um að endurheimta stolið fé sitt.
Sagan um Mullenaux, 40 ára smáfyrirtækiseiganda frá Kaliforníu, hófst 19. desember. Þegar hann verslaði fyrir unga dóttur sína um jólin fékk hann símtal frá einstaklingi sem sagðist vera frá Chase-svikadeildinni og bað um að staðfesta grunsamleg viðskipti.
800-númerið passaði við þjónustuver Chase svo Mullenaux taldi það ekki grunsamlegt þegar maðurinn bað hann um að skrá sig inn á reikninginn sinn með öruggum hlekk sem var sendur með textaskilaboðum til auðkenningar. Hlekkurinn virtist lögmætur og vefsíðan sem opnaði virtist vera eins og Chase bankaforritið hans, svo hann skráði sig inn.
„Það hvarflaði ekki einu sinni að mér að ég væri ekki að tala við lögmætan fulltrúa Chase,“ sagði Mullenaux við CNBC.
Þeir dagar eru liðnir þegar það eina sem neytandi þurfti að varast var grunsamlegur tölvupóstur eða hlekkur. Aðferðir netglæpamanna hafa breyst í margþætt kerfi, þar sem margir glæpamenn starfa sem teymi til að beita háþróaðri tækni sem felur í sér tilbúinn hugbúnað sem seldur er í settum sem fela símanúmer og líkja eftir innskráningarsíðum banka fórnarlambsins. Þetta er útbreidd ógn sem sérfræðingar í netöryggi segja að ýti undir aukningu í virkni. Þeir spá því að það muni bara versna. Því miður, fyrir fórnarlamb þessara kerfa, þarf bankinn ekki alltaf að endurgreiða stolið fé.
Eftir að hann var skráður inn sagðist Mullenaux hafa séð miklar fjárhæðir flytjast á milli reikninga hans. Sá sem var í símanum sagði honum að einhver væri á reikningnum hans að reyna að stela peningunum hans og að eina leiðin til að halda þeim öruggum væri að senda peninga til bankastjórans þar sem þeir yrðu geymdir tímabundið á meðan þeir tryggðu reikninginn hans.
Mullenaux, dauðhræddur um að það væri að verða stolið sparifé hans, sagðist hafa verið í símanum í næstum þrjár klukkustundir, fylgt öllum leiðbeiningum sem hann fékk og svaraði öryggisspurningum sem hann var spurður.
CNBC hefur farið yfir farsímagögn Mullenaux, bankareikningsupplýsingar, sem og myndir af textaskilaboðum og hlekk sem hann var sendur.
Hópur svindlara
Í yfirlýsingu til CNBC sagði a Chase Talsmaður sagði: „Bankar munu aldrei biðja neytendur eða fyrirtæki um að senda peninga til sín eða annarra til að koma í veg fyrir svik, en svindlarar munu gera það. Til að staðfesta að þú sért virkilega að tala við Chase skaltu hringja í númerið aftan á kortinu þínu eða heimsækja útibú.
Cody Mullenaux, uppfinningamaður og stofnandi Aquaphant, tæknifyrirtækis sem breytir raka úr loftinu í síað vatn, ásamt liði sínu og fjölskyldu.
Höfundur: Cody Mullenaux
Lítið úrræði fyrir fórnarlömb vírsvindls
Svindlarar nýttu sér glufur í reglugerðum
Háþróuð svindlaðferðir eru að aukast
Það eru ekki bara viðskiptavinir Chase sem miða á netglæpamenn með þessum háþróuðu kerfum. Síðastliðið sumar afhjúpaði IronNet „phishing-as-a-service“ vettvangur sem selur tilbúin vefveiðasett til netglæpamanna sem beinast að bandarískum fyrirtækjum, þar á meðal bönkum. Sérhannaðar pökkin geta kostað allt að $50 á mánuði og innihalda kóða, grafík og stillingarskrár til að líkjast bankainnskráningarsíðum.
Joey Fitzpatrick, ógnargreiningarstjóri hjá IronNet, sagði að þó að hann geti ekki sagt með vissu að þetta hafi verið hvernig Mullenaux var svikinn, „ber árásin gegn honum öll einkenni þess að árásarmenn noti sams konar fjölþætt verkfæri sem vefveiðar og -a-þjónusta pallar veita.“
Hann býst við því að tilboð af gerðinni „sem-a-service“ muni aðeins halda áfram að ná vinsældum þar sem settin lækka ekki aðeins mörkin fyrir lág- og meðalstóra netglæpamenn til að búa til vefveiðaherferðir, heldur gerir það einnig glæpamönnum í hærra flokki kleift að einbeita sér að á einu svæði og þróa flóknari tækni og spilliforrit.
„Við höfum séð 10% aukningu á dreifingu vefveiðasetta í janúar 2023 einum saman,“ sagði Fitzpatrick.
Árið 2022 sá fyrirtækið um 45% aukningu á phishing viðvörunum og uppgötvunum.
En það eru ekki bara vefveiðar að aukast, þetta eru allt netárásir. Gögn frá Check Point sýndu að árið 2022 var 52% aukning á vikulegum netárásum á fjármála-/bankageirann samanborið við árásir árið 2021.
„Fágun netárása og svikafyrirtækja hefur aukist verulega á síðasta ári,“ sagði Sergey Shykevich, yfirmaður ógnunarhópsins hjá Check Point. „Nú, í mörgum tilfellum treysta netglæpamenn ekki eingöngu á að senda vefveiðar/illgjarn tölvupóst og bíða eftir að fólk smelli á það, heldur sameina það með símtölum, MFA [fjölþátta auðkenningu] þreytuárásum og fleira.“
Báðir netöryggissérfræðingar sögðu að bankar gætu gert meira til að fræða viðskiptavini.
Shykevich sagði að bankarnir ættu að fjárfesta í betri ógnargreind sem getur greint og hindrað aðferðir sem netglæpamenn nota. Dæmi sem hann gaf er að bera saman innskráningu við stafrænt „fingrafar“ einstaklings sem byggir á gögnum eins og vafranum sem reikningurinn notar, skjáupplausn eða lyklaborðsmáli.
Besta ráðið: Leggðu á símann
Heimild: https://www.cnbc.com/2023/02/06/phishing-as-a-service-kits-drive-uptick-in-theft-one-business-owners-story.html