"Кызмат катары фишинг" комплекттери уурдоону күчөтөт: Бир бизнес ээсинин окуясы

Банктар киберкоопсуздукка жана алдамчылыкты аныктоого эбегейсиз чоң суммаларды коротушту, бирок криминалдык тактика банк кызматкерлерин алдоо үчүн жетиштүү деңгээлде татаал болгондо эмне болот? 

Коди Муллено үчүн бул анын Chase текшерүү эсебинен 120,000 XNUMX доллардан ашык акчаны алып, анын уурдалган акчасын кайтарып алуу үмүтү аз болгон.

Калифорниялык 40 жаштагы чакан бизнестин ээси Мулленонун дастаны 19-декабрда башталган. Рождестводо кичинекей кызын сатып алып жүргөндө, ага Chase алдамчылык бөлүмүнүн кызматкеримин деген адам чалып, текшерүүнү суранган. шектүү транзакция.

800 номерлүү Chase кардарларды тейлөө кызматына дал келген, ошондуктан Mullenaux аны идентификациялоо максатында SMS аркылуу жөнөтүлгөн корголгон шилтеме аркылуу аккаунтуна кирүүнү суранганда, шектүү деп ойлогон эмес. Шилтеме мыйзамдуу көрүндү жана ачылган веб-сайт анын Chase банкинг колдонмосуна окшош болуп көрүндү, ошондуктан ал кирди. 

"Чейздин мыйзамдуу өкүлү менен сүйлөшпөй жатканым менин оюма да кирген эмес" деди Муллено CNBCге.

Керектөөчү этият болушу керек болгон бир гана нерсе шектүү электрондук почта же шилтеме болгон күндөр артта калды. Киберкылмышкерлердин тактикасы көп кырдуу схемаларга айланган, бир нече кылмышкерлер телефон номерлерин жаап, жабырлануучунун банкынын кирүү баракчаларын туураган комплекттерде сатылган даяр программалык камсыздоону камтыган татаал тактикаларды жайылтуу үчүн команда катары аракеттенишкен. Бул киберкоопсуздук боюнча эксперттердин айтымында, жигердүүлүктүн күчөшүнө алып келет. Алар мындан да жаман болоорун айтышат. Тилекке каршы, бул схемалардын жабырлануучусу үчүн банк дайыма эле уурдалган каражаттарды кайтарып берүүгө милдеттүү эмес.

Киргенден кийин, Муллено анын эсептеринин ортосунда чоң суммадагы акчанын жылып жатканын көргөнүн айтты. Телефон аркылуу сүйлөшкөн адам анын эсебинде кимдир бирөө анын акчасын уурдоого аракет кылып жатканын жана аны сактап калуунун бирден-бир жолу банктын көзөмөлчүсүнө акча которуу экенин, алар анын эсебин камсыздап турганда, акча убактылуу сакталаарын айткан.

Тапкан акчасы уурдалып кете жаздаганынан корккон Муллено үч саатка жакын телефондо отурганын, ага берилген бардык көрсөтмөлөрдү аткарганын жана ага берилген кошумча коопсуздук суроолоруна жооп бергенин айтты. 

CNBC Мулленонун уюлдук жазууларын, банк эсебинин маалыматын, ошондой эле тексттик билдирүүнүн сүрөттөрүн жана ага жөнөтүлгөн шилтемени карап чыкты.

Абадагы нымдуулукту чыпкаланган сууга айландырган Aquaphant технологиялык компаниясынын ойлоп табуучусу жана негиздөөчүсү Mullenaux телефондогу адамдын татаал киберкылмышкерлер тобунун мүчөсү экенин билген эмес.

Муллено бул жасалма алдамчылык бөлүмүнүн өкүлү менен сүйлөшүп жатканда, экинчи шылуун акча которууларга уруксат берүү үчүн Чейз менен башка телефон чалуу учурунда Мулленонун кейпин кийип жүргөн. Mullenaux суралган коопсуздук суроолоруна бардык жооптор, андан кийин экинчи шылуунга берилип жаткан. Бул алдамчыларга туура жоопторду берүүгө жана Chase кызматкерин эсеп ээси менен сүйлөшүп жатканына ынандырууга мүмкүндүк берди.

Алдамчылык иштеди. Чейздин кызматкери үч акча которууга уруксат берүү үчүн чалышкан Муллено экенине ынангандан кийин, анын банк эсебинен 120,000 XNUMX доллардан ашык акча жоголуп кеткен жана анын бардык аракетине карабастан, анын бири да кайтарылган эмес. 

CNBC телеканалына берген билдирүүсүндө, А мергенчилик кылуу басма сөз катчысы: «Банктар эч качан керектөөчүлөрдөн же ишканалардан алдамчылыктын алдын алуу үчүн өзүнө же башка бирөөнө акча жөнөтүүнү сурашпайт, бирок шылуундар. Чейз менен чындап сүйлөшүп жатканыңызды тастыктоо үчүн картаңыздын артындагы номерге чалыңыз же филиалга кайрылыңыз.”

Мулленонун айтымында, ал уурдалган акчасын кайтарып алуу аракетинен улам капаланып, жеңилип калган.

"Кардарларды сынап, коргоо үчүн эмне кылбасын, шылуундар ар дайым бир кадам алдыда", - деди Муллена, анын акчасы киберкылмышкерлер бутага алган чоң банкка караганда бут кутуда коопсузраак болмок деп кошумчалады.

Федералдык соода комиссиясы шылуундарга акча которуу аркылуу акча жөнөттү деп ойлогон кардар дароо өз банкына кайрылып, алдамчылык которуу тууралуу кабарлап, аны кайтарып берүүнү суранышы керек деп кеңеш берет.

FTC CNBCге жалган акча которуу аркылуу жөнөтүлгөн каражаттарды калыбына келтирүүгө аракет кылууда убакыт маанилүү. Агенттиктин айтымында, жабырлануучулар кылмыш жөнүндө агенттикке, ошондой эле ФБРдин Интернеттеги кылмыштуулук боюнча даттануу борборуна ошол эле күнү же мүмкүн болсо, кийинки күнү кабарлашы керек. 

Мулленонун айтымында, ал бир нерсе туура эмес болгонун эртеси эртең менен анын эсебине акчасы кайтарылбай калганда түшүндү.

Ал дароо эле Чейз банкынын жергиликтүү филиалына барган, ал жерде ал алдамчылыктын курмандыгы болушу мүмкүн деп айтышкан. Mullenaux бул маселе эч кандай шашылыш түрдө чечилбегенин жана FTC кардарлар сураган тескери акча которуу аракети вариант катары сунушталган эмес деп айтты.

Анын ордуна, Мулленонун айтымында, филиалдын кызматкери ага 10 күндүн ичинде доо арыз берүү үчүн толтура ала турган пакетти почта аркылуу ала турганын айтты. Муллено дароо пакетти сурады. Аны толтуруп, ошол эле күнү тапшырды.

Бул доомат, экинчи Мулленонун аткаруу бийлигине берген арызы четке кагылды. Бул маселени иликтеп жаткан кызматкерлер Муллено акча которууга уруксат берүү үчүн телефон чалганын айтышты.

CNBC Чейзге Мулленонун уюлдук телефонунун жазууларын берди, бул анын каралып жаткан күнү Чейзге эч качан чыккан телефон чалууларын жасабаганын көрсөткөн. Жазуулар ошондой эле акча которуу жазуулары менен салыштырганда, бул Мулленонун Чейзге телефон которууга уруксат берүү үчүн телефон чалган болушу мүмкүн эместигин көрсөтүп турат, анткени үчөө тең ыйгарым укуктарга ээ болгон жана Муллено шылуундар менен телефондо сүйлөшүп турганда өткөн.

Бирок бул банктын чечимин өзгөрткөн жок жана кайрадан Мулленонун дооматы четке кагылды, анткени ал өзүнүн жеке маалыматын кылмышкерлер менен бөлүштү.

Алдамчылар муну жасап жатышканын түшүнүштүбү же жокпу, алар керектөөчүлөрдүн укугун коргоо боюнча учурдагы мыйзамдардагы эки мүчүлүштүктөрдү ийгиликтүү пайдаланышты, натыйжада Чейз Мулленонун уурдалган каражаттарын алмаштырууну талап кылбайт. Мыйзам боюнча, кардар киберкылмышкерге акча жөнөтөм деп алданып калганда, банктар уурдалган каражаттарды кайтарып берүүгө милдеттүү эмес.

Бирок, электрондук транзакциялардын көпчүлүк түрлөрүн камтыган "Электрондук Фондду Которуу Актысына" ылайык, банктар кардардын уруксатысыз акча уурдалганда кардарларды кайтарып берүүгө милдеттүү. Тилекке каршы, бир банктан экинчи банкка акча которууну камтыган акча которуулар актыда камтылбайт, анда кагаз чектер жана алдын ала төлөнүүчү карталар менен алдамчылык да жокко чыгарылат.

Киберкылмышкерлер ошондой эле акча которууларды баштоодон мурун Мулленонун жеке текшерүү жана сактык эсептеринен анын бизнес эсебине акча которушкан. Керектөөчүлөргө уруксатсыз транзакциядан акчасын кайтарып алууга жардам берүү үчүн иштелип чыккан E регламенти бизнес эсептерин эмес, жеке адамдарды гана коргойт.

Чейздин өкүлүнүн айтымында, банк уурдалган акчаны кайтарып алуу аракетин көрүп жатат.

Мулленонун айтымында, бул үчүн тиленип жатат. «Бул трагедия кандайдыр бир жол менен элдешсе экен, [банктын] жетекчилиги мага эмне болгонун көрүп, акчам кайтарылып берилсин деп тилейм».

Муллено ошондой эле жергиликтүү полицияга жана ФБРдин Интернеттеги кылмыштуулук боюнча даттануу борборуна отчет берген, бирок экөө тең анын иши боюнча аны менен байланыша элек.

Бул татаал схемалар менен киберкылмышкерлер тарабынан Chase кардарлары гана бутага алынбайт. Ушул өткөн жайда IronNet ачылды "Кызмат катары фишинг" платформасы АКШда жайгашкан компанияларды, анын ичинде банктарды бутага алган киберкылмышкерлерге даяр фишинг комплекттерин сатат. Настройкаланган топтомдор айына 50 долларга чейин арзандашы мүмкүн жана банктын кирүү баракчаларына окшошкон код, графика жана конфигурация файлдарын камтыйт.

IronNetтин коркунучтарды талдоо боюнча менеджери Джои Фицпатриктин айтымында, ал Mullenaux ушинтип алданып калганын так айта албаса да, “ага кол салууда фишинг сыяктуу мультимодалдык куралдарды колдонгон чабуулчулардын бардык белгилери бар. -а-кызмат платформалары камсыз кылат.

Ал "кызмат катары" тибиндеги сунуштар кызыктыра берет деп күтөт, анткени комплекттер фишинг кампанияларын түзүү үчүн төмөнкү жана орто деңгээлдеги киберкылмышкерлердин тилкесин төмөндөтүп гана койбостон, ошондой эле жогорку деңгээлдеги кылмышкерлерге көңүл бурууга мүмкүнчүлүк берет. бир аймакта жана татаалыраак тактикаларды жана зыяндуу программаларды иштеп чыгуу.

"Биз 10-жылдын январында эле фишингдик топтомдорду жайылтуу 2023% көбөйгөнүн көрдүк" деди Фитцпатрик.

2022-жылы компания фишинг тууралуу эскертүүлөрдүн жана аныктоолордун 45% га өскөндүгүн байкаган.

Бирок бул жөн гана фишингдик схемалар эмес, бардык киберчабуулдар. Check Point маалыматы 2022-жылы каржы/банк секторуна жума сайын жасалган киберчабуулдардын 52-жылдагы чабуулдарга салыштырмалуу 2021% өскөнүн көрсөттү.

"Акыркы жылы киберчабуулдардын жана алдамчылык схемаларынын татаалдыгы кыйла өстү", - деди Сергей Шыкевич, Check Point коркунуч тобунун менеджери. "Азыр көп учурларда киберкылмышкерлер фишинг/зыяндуу электрондук каттарды жөнөтүүгө жана адамдардын аны басышын күтүүгө гана ишенбестен, аны телефон чалуулар, ТИМ [көп факторлуу аутентификация] чарчоо чабуулдары жана башкалар менен айкалыштырат."

Киберкоопсуздук боюнча эки эксперт тең банктар кардарларды үйрөтүү үчүн көбүрөөк иш кыла аларын айтышты. 

Шыкевичтин айтымында, банктар киберкылмышкерлер колдонгон ыкмаларды таап, бөгөттөй турган жакшыраак коркунуч чалгынына инвестиция салышы керек. Ал келтирген мисал катары логинди адамдын санариптик "манжа изи" менен салыштыруу болуп саналат, ал эсеп колдонгон браузер, экрандын чечилиши же клавиатура тили сыяктуу маалыматтарга негизделген.

Чейз, федералдык агенттиктер жана киберкоопсуздук боюнча эксперттер бир нерсеге макул болушкан: эгерде кардар алардын банкынан телефон чалып, ал адам маалымат сурай баштаса, телефонду коюп, банкка кайра чалыңыз.

«Эгер керектөөчүгө кимдир бирөө өзүнүн банкынан деп ырастап, көйгөй тууралуу эскертип, чалуу, SMS же электрондук кат алса, керектөөчү телефонду өчүрүшү керек (же текстти/электрондук почтаны өчүрүп, шилтемелерди чыкылдатпаңыз) жана алардын банкына алар чын экенин билген телефон номерине чалып көрүңүз ”деди FTC өкүлү.

Киберкылмышкерлер чалуучунун идентификаторун бурмалоо мүмкүнчүлүгүнө ээ жана алар уурдалган жеке маалыматты жабырлануучуну алдап, акчасын өткөрүп бериши мүмкүн.

Сураныч, электрондук почта боюнча кеңештер [электрондук почта корголгон]