„Phishing-as-a-service“ pökkum hækkar í þjófnaði: Saga eins fyrirtækiseigenda

Bankar hafa eytt gífurlegum fjárhæðum í netöryggi og uppgötvun svika en hvað gerist þegar glæpaaðferðir eru nógu háþróaðar til að jafnvel blekkja bankastarfsmenn? 

Fyrir Cody Mullenaux þýddi það að hafa meira en $120,000 hlerað frá Chase tékkareikningnum sínum með litla von um að endurheimta stolið fé sitt.

Sagan um Mullenaux, 40 ára smáfyrirtækiseiganda frá Kaliforníu, hófst 19. desember. Þegar hann verslaði fyrir unga dóttur sína um jólin fékk hann símtal frá einstaklingi sem sagðist vera frá Chase-svikadeildinni og bað um að staðfesta grunsamleg viðskipti.

800-númerið passaði við þjónustuver Chase svo Mullenaux taldi það ekki grunsamlegt þegar maðurinn bað hann um að skrá sig inn á reikninginn sinn með öruggum hlekk sem var sendur með textaskilaboðum til auðkenningar. Hlekkurinn virtist lögmætur og vefsíðan sem opnaði virtist vera eins og Chase bankaforritið hans, svo hann skráði sig inn. 

„Það hvarflaði ekki einu sinni að mér að ég væri ekki að tala við lögmætan fulltrúa Chase,“ sagði Mullenaux við CNBC.

Þeir dagar eru liðnir þegar það eina sem neytandi þurfti að varast var grunsamlegur tölvupóstur eða hlekkur. Aðferðir netglæpamanna hafa breyst í margþætt kerfi, þar sem margir glæpamenn starfa sem teymi til að beita háþróaðri tækni sem felur í sér tilbúinn hugbúnað sem seldur er í settum sem fela símanúmer og líkja eftir innskráningarsíðum banka fórnarlambsins. Þetta er útbreidd ógn sem sérfræðingar í netöryggi segja að ýti undir aukningu í virkni. Þeir spá því að það muni bara versna. Því miður, fyrir fórnarlamb þessara kerfa, þarf bankinn ekki alltaf að endurgreiða stolið fé.

Eftir að hann var skráður inn sagðist Mullenaux hafa séð miklar fjárhæðir flytjast á milli reikninga hans. Sá sem var í símanum sagði honum að einhver væri á reikningnum hans að reyna að stela peningunum hans og að eina leiðin til að halda þeim öruggum væri að senda peninga til bankastjórans þar sem þeir yrðu geymdir tímabundið á meðan þeir tryggðu reikninginn hans.

Mullenaux, dauðhræddur um að það væri að verða stolið sparifé hans, sagðist hafa verið í símanum í næstum þrjár klukkustundir, fylgt öllum leiðbeiningum sem hann fékk og svaraði öryggisspurningum sem hann var spurður. 

CNBC hefur farið yfir farsímagögn Mullenaux, bankareikningsupplýsingar, sem og myndir af textaskilaboðum og hlekk sem hann var sendur.

Það sem Mullenaux, sem er uppfinningamaður og stofnandi Aquaphant, tæknifyrirtækis sem breytir raka úr loftinu í síað vatn, vissi ekki var að sá sem var í símanum var hluti af háþróuðu netglæpateymi.

Á meðan Mullenaux talaði við þennan falsa svikadeildarfulltrúa var annar svindlari að herma eftir Mullenaux í öðru símtali við Chase til að heimila millifærslurnar. Öll svörin við öryggisspurningunum sem Mullenaux var spurður voru síðan færð til seinni svindlarans. Þetta gerði svikarunum kleift að gefa rétt svör og sannfæra Chase starfsmanninn um að þeir væru að tala við reikningseigandann.

Gabbið virkaði. Þegar starfsmaður Chase var sannfærður um að það væri Mullenaux sem hringdi til að heimila millifærslurnar þrjár, hurfu yfir $120,000 af bankareikningi hans og þrátt fyrir bestu viðleitni hans hefur ekkert af því verið endurgreitt. 

Í yfirlýsingu til CNBC sagði a Chase Talsmaður sagði: „Bankar munu aldrei biðja neytendur eða fyrirtæki um að senda peninga til sín eða annarra til að koma í veg fyrir svik, en svindlarar munu gera það. Til að staðfesta að þú sért virkilega að tala við Chase skaltu hringja í númerið aftan á kortinu þínu eða heimsækja útibú.

Mullenaux sagðist vera svekktur og sigraður yfir reynslu sinni af því að reyna að endurheimta stolið fé sitt.

„Sama hvað þeir gera til að reyna að vernda viðskiptavini, þá eru svindlarar alltaf skrefinu á undan,“ sagði Mullenaux og bætti við að peningar hans hefðu verið öruggari í skókassa en í stórum banka sem netglæpamenn eru að miða við.

Alríkisviðskiptanefndin ráðleggur því að allir viðskiptavinir sem telja sig hafa sent peninga til svindlara með millifærslu ættu tafarlaust að hafa samband við bankann sinn, tilkynna um sviksamlega millifærsluna og biðja um að henni verði snúið til baka.

Tími er mikilvægur þegar reynt er að endurheimta fé sem sent er með sviksamlegri millifærslu, sagði FTC við CNBC. Stofnunin sagði að fórnarlömb ættu einnig að tilkynna glæpinn til stofnunarinnar sem og Internet Crime Complaint Center FBI, sama dag eða næsta dag, ef mögulegt er. 

Mullenaux sagðist hafa áttað sig á að eitthvað væri að næsta morgun þegar fjármunir hans höfðu ekki skilað sér inn á reikning hans.

Hann ók strax að Chase bankaútibúi sínu á staðnum þar sem honum var sagt að hann hefði líklega verið fórnarlamb svika. Mullenaux sagði að málið væri ekki meðhöndlað af neinni tilfinningu um að það væri brýnt, og öfug millifærslutilraun, sem FTC leggur til að viðskiptavinir biðji um, hafi ekki verið boðin sem valkostur.

Þess í stað sagði Mullenaux að starfsmaður útibúsins hefði sagt honum að hann myndi fá pakka í pósti innan 10 daga sem hann gæti fyllt út til að leggja fram kröfu. Mullenaux bað um pakkann strax. Hann fyllti það út og skilaði samdægurs.

Þessari kröfu, ásamt annarri sem Mullenaux lagði fram hjá framkvæmdavaldinu, var hafnað. Starfsmennirnir sem rannsaka málið sögðu að Mullenaux hefði hringt til að heimila millifærslurnar.

CNBC útvegaði Chase farsímagögn Mullenaux sem sýndu að hann hringdi aldrei til Chase á umræddum degi. Skrárnar gefa einnig til kynna, þegar þær eru bornar saman við millifærsluskrárnar, að það gæti ekki hafa verið Mullenaux sem hringdi í Chase til að heimila millifærslurnar vegna þess að allir þrír voru leyfðir og fóru í gegnum meðan Mullenaux var enn í símanum með svindlarana.

Það breytti hins vegar ekki ákvörðun bankans og aftur var kröfu Mullenaux hafnað þar sem hann hafði deilt einkaupplýsingum sínum með glæpamönnum.

Hvort sem svindlararnir áttuðu sig á því að þeir voru að gera það eða ekki, nýttu þeir sér tvö glufur í núverandi neytendaverndarlöggjöf sem leiddi til þess að Chase þurfti ekki að skipta um stolið fé Mullenaux. Lagalega þurfa bankar ekki að endurgreiða stolið fé þegar viðskiptavinur er blekktur til að senda peninga til netglæpamanns.

Hins vegar, samkvæmt lögum um rafrænar millifærslur, sem ná yfir flestar tegundir rafrænna viðskipta eins og jafningjagreiðslur og netgreiðslur eða millifærslur, er bönkum skylt að endurgreiða viðskiptavinum þegar fjármunum er stolið án þess að viðskiptavinurinn leyfi það. Því miður falla millifærslur, sem fela í sér að færa peninga frá einum banka til annars, ekki undir lögin, sem útilokar einnig svik sem fela í sér pappírsávísanir og fyrirframgreidd kort.

Netglæpamennirnir fluttu einnig fjármuni af persónulegum tékka- og sparnaðarreikningum Mullenaux yfir á viðskiptareikning hans áður en millifærslurnar hófust. Reglugerð E, sem er hönnuð til að hjálpa neytendum að fá peningana sína til baka frá óviðkomandi viðskiptum, verndar aðeins einstaklinga, ekki viðskiptareikninga.

Fulltrúi Chase sagði að rannsóknin sé í gangi þar sem bankinn reynir að endurheimta stolið fé.

Það er eitthvað sem Mullenaux segist vera að biðja um. „Ég bið þess að þessi harmleikur náist á einhvern hátt, að stjórnendur [banka] sjái hvað kom fyrir mig og peningarnir mínir verði skilað til baka.

Mullenaux hefur einnig lagt fram skýrslur hjá lögreglunni á staðnum og netglæpamiðstöð FBI, en hvorugur þeirra hefur haft samband við hann vegna máls hans.

Það eru ekki bara viðskiptavinir Chase sem miða á netglæpamenn með þessum háþróuðu kerfum. Síðastliðið sumar afhjúpaði IronNet „phishing-as-a-service“ vettvangur sem selur tilbúin vefveiðasett til netglæpamanna sem beinast að bandarískum fyrirtækjum, þar á meðal bönkum. Sérhannaðar pökkin geta kostað allt að $50 á mánuði og innihalda kóða, grafík og stillingarskrár til að líkjast bankainnskráningarsíðum.

Joey Fitzpatrick, ógnargreiningarstjóri hjá IronNet, sagði að þó að hann geti ekki sagt með vissu að þetta hafi verið hvernig Mullenaux var svikinn, „ber árásin gegn honum öll einkenni þess að árásarmenn noti sams konar fjölþætt verkfæri sem vefveiðar og -a-þjónusta pallar veita.“

Hann býst við því að tilboð af gerðinni „sem-a-service“ muni aðeins halda áfram að ná vinsældum þar sem settin lækka ekki aðeins mörkin fyrir lág- og meðalstóra netglæpamenn til að búa til vefveiðaherferðir, heldur gerir það einnig glæpamönnum í hærra flokki kleift að einbeita sér að á einu svæði og þróa flóknari tækni og spilliforrit.

„Við höfum séð 10% aukningu á dreifingu vefveiðasetta í janúar 2023 einum saman,“ sagði Fitzpatrick.

Árið 2022 sá fyrirtækið um 45% aukningu á phishing viðvörunum og uppgötvunum.

En það eru ekki bara vefveiðar að aukast, þetta eru allt netárásir. Gögn frá Check Point sýndu að árið 2022 var 52% aukning á vikulegum netárásum á fjármála-/bankageirann samanborið við árásir árið 2021.

„Fágun netárása og svikafyrirtækja hefur aukist verulega á síðasta ári,“ sagði Sergey Shykevich, yfirmaður ógnunarhópsins hjá Check Point. „Nú, í mörgum tilfellum treysta netglæpamenn ekki eingöngu á að senda vefveiðar/illgjarn tölvupóst og bíða eftir að fólk smelli á það, heldur sameina það með símtölum, MFA [fjölþátta auðkenningu] þreytuárásum og fleira.“

Báðir netöryggissérfræðingar sögðu að bankar gætu gert meira til að fræða viðskiptavini. 

Shykevich sagði að bankarnir ættu að fjárfesta í betri ógnargreind sem getur greint og hindrað aðferðir sem netglæpamenn nota. Dæmi sem hann gaf er að bera saman innskráningu við stafrænt „fingrafar“ einstaklings sem byggir á gögnum eins og vafranum sem reikningurinn notar, skjáupplausn eða lyklaborðsmáli.

Það var eitt sem Chase, alríkisstofnanir og netöryggissérfræðingar voru allir sammála um: Ef viðskiptavinur fær símtal frá bankanum sínum og viðkomandi byrjar að biðja um upplýsingar skaltu leggja á og hringja í bankann sjálfur.

„Ef neytandi fær símtal, sms eða tölvupóst út í bláinn frá einhverjum sem segist vera frá bankanum sínum, sem gerir honum viðvart um vandamál, ætti neytandinn að leggja á (eða eyða textanum/tölvupóstinum og ekki smella á tengla) og reyndu að hringja í bankann þeirra í símanúmeri sem þeir vita að er raunverulegt,“ sagði talsmaður FTC.

Netglæpamenn hafa getu til að svindla á auðkenni þess sem hringir og þeir geta notað stolnar persónulegar upplýsingar til að blekkja fórnarlambið til að afhenda peninga.

Vinsamlegast sendu ráðleggingar í tölvupósti til [netvarið]