«Ֆիշինգը որպես ծառայություն» փաթեթները աճում են գողության մեջ. մեկ բիզնեսի սեփականատիրոջ պատմությունը

Բանկերը հսկայական գումարներ են ծախսել կիբերանվտանգության և խարդախության հայտնաբերման վրա, բայց ի՞նչ է տեղի ունենում, երբ հանցավոր մարտավարությունը բավական բարդ է, որպեսզի նույնիսկ հիմարացնի բանկի աշխատակիցներին: 

Cody Mullenaux-ի համար դա նշանակում էր ունենալ ավելի քան 120,000 դոլար իր Chase-ի չեկային հաշվից՝ իր գողացված միջոցները երբևէ վերադարձնելու փոքր հույսով:

Կալիֆոռնիայից 40-ամյա փոքր բիզնեսի սեփականատեր Մուլենոյի սագան սկսվել է դեկտեմբերի 19-ին: Մինչ Սուրբ Ծննդյան իր փոքրիկ դստեր համար գնումներ կատարելիս, նա զանգ ստացավ մի անձնավորությունից, ով պնդում էր, որ ինքը Չեյսի խարդախության բաժանմունքից է և խնդրել է ստուգել: կասկածելի գործարք.

800 համարը համապատասխանում էր Chase-ի հաճախորդների սպասարկմանը, այնպես որ Mullenaux-ին կասկածելի չէր թվում, երբ անձը խնդրեց նրան մուտք գործել իր հաշիվ տեքստային հաղորդագրության միջոցով նույնականացման նպատակով ուղարկված ապահով հղման միջոցով: Հղումը օրինական տեսք ուներ, և բացված կայքը նույնական էր նրա Chase բանկային հավելվածին, ուստի նա մուտք գործեց: 

«Իմ մտքով անգամ չի անցել, որ ես չեմ խոսում Chase-ի օրինական ներկայացուցչի հետ», - ասաց Մալենոն CNBC-ին տված հարցազրույցում:

Անցել են այն ժամանակները, երբ միակ բանը, որից սպառողը պետք է զգուշանար, կասկածելի նամակն էր կամ հղումը: Կիբերհանցագործների մարտավարությունը վերածվել է բազմակողմ սխեմաների, որտեղ մի քանի հանցագործներ գործում են որպես թիմ՝ կիրառելու բարդ մարտավարություն, որը ներառում է պատրաստի ծրագրակազմ, որը վաճառվում է փաթեթներով, որոնք քողարկում են հեռախոսահամարները և ընդօրինակում զոհի բանկի մուտքի էջերը: Դա համատարած սպառնալիք է, որը կիբերանվտանգության փորձագետների կարծիքով՝ խթանում է ակտիվության աճը: Նրանք կանխատեսում են, որ դա միայն կվատանա։ Ցավոք, այս սխեմաների զոհերի համար բանկը միշտ չէ, որ պարտավոր է վերադարձնել գողացված միջոցները:

Մուտք գործելուց հետո Մուլենոն ասաց, որ տեսել է, որ մեծ գումարներ են շարժվում իր հաշիվների միջև: Հեռախոսով խոսող անձը նրան ասաց, որ ինչ-որ մեկը նրա հաշվին ակտիվորեն փորձում է գողանալ նրա գումարը, և որ այն ապահով պահելու միակ միջոցը բանկի վերահսկիչին գումար փոխանցելն է, որտեղ այն ժամանակավորապես կպահվի, մինչ նրանք ապահովեն նրա հաշիվը:

Վախենալով, որ իր դժվարությամբ վաստակած խնայողությունները պատրաստվում են գողանալ, Մուլենոն ասաց, որ ինքը հեռախոսով մոտ երեք ժամ է մնացել, հետևել է իրեն տրված բոլոր հրահանգներին և պատասխանել է իրեն տրված անվտանգության լրացուցիչ հարցերին: 

CNBC-ն ուսումնասիրել է Mullenaux-ի բջջային գրառումները, բանկային հաշվի տվյալները, ինչպես նաև տեքստային հաղորդագրության պատկերները և հղումը, որը նա ուղարկել է:

Այն, ինչ Mullenaux-ն, ով Aquaphant տեխնոլոգիական ընկերության գյուտարարն ու հիմնադիրն է, որը օդից խոնավությունը վերածում է ֆիլտրացված ջրի, չգիտեր, որ հեռախոսով խոսող անձը բարդ կիբերհանցագործների թիմի անդամ էր:

Մինչ Mullenaux-ը զրուցում էր կեղծ խարդախության բաժնի այս ներկայացուցչի հետ, երկրորդ խարդախը նմանակում էր Mullenaux-ին Չեյզի հետ մեկ այլ հեռախոսազրույցի ժամանակ՝ թույլատրելու դրամական փոխանցումները: Մալենոյին տրված անվտանգության հարցերի բոլոր պատասխաններն այնուհետև փոխանցվում էին երկրորդ խարդախին: Սա թույլ է տվել խարդախներին տրամադրել ճիշտ պատասխանները և համոզել Chase-ի աշխատակցին, որ նրանք խոսում են հաշվի տիրոջ հետ:

Խաբեությունն աշխատեց. Երբ Chase-ի աշխատակիցը համոզվեց, որ դա Մուլենոն էր, ով զանգահարեց թույլատրելու երեք դրամական փոխանցումները, նրա բանկային հաշվից անհետացավ ավելի քան 120,000 դոլար, և չնայած նրա ջանքերին, դրանցից ոչ մեկը չի վերադարձվել: 

CNBC-ին տված հայտարարության մեջ ա հալածում «Բանկերը երբեք չեն խնդրի սպառողներին կամ բիզնեսին գումար ուղարկել իրենց կամ որևէ մեկին` խարդախությունը կանխելու համար, բայց խաբեբաները կանեն: Հաստատելու համար, որ իսկապես խոսում եք Չեյզի հետ, զանգահարեք ձեր քարտի հետևի համարով կամ այցելեք մասնաճյուղ»:

Մուլենոն ասաց, որ իրեն հիասթափված և պարտված է զգում իր գողացված միջոցները վերականգնելու փորձից:

«Անկախ նրանից, թե ինչ են նրանք անում՝ փորձելով պաշտպանել հաճախորդներին, խաբեբաները միշտ մեկ քայլ առաջ են», - ասաց Մալենոն՝ հավելելով, որ իր փողերն ավելի ապահով կլինեին կոշիկի տուփում, քան խոշոր բանկում, որի թիրախում կիբերհանցագործներն են:

Առևտրի դաշնային հանձնաժողովը խորհուրդ է տալիս, որ ցանկացած հաճախորդ, ով կարծում է, որ կարող է գումար ուղարկել խաբեբաներին բանկային փոխանցման միջոցով, պետք է անհապաղ դիմի իր բանկ, տեղեկացնի կեղծ փոխանցման մասին և խնդրի, որ այն չեղարկվի:

Ժամանակը չափազանց կարևոր է, երբ փորձում եք վերականգնել կեղծ դրամական փոխանցումների միջոցով ուղարկված միջոցները, CNBC-ին ասաց FTC-ն: Գործակալությունը նշել է, որ զոհերը պետք է նաև հանցագործության մասին զեկուցեն գործակալությանը, ինչպես նաև ՀԴԲ-ի ինտերնետային հանցագործությունների բողոքարկման կենտրոնին, հնարավորության դեպքում, նույն օրը կամ հաջորդ օրը: 

Մալենոն ասաց, որ հաջորդ առավոտյան հասկացել է, որ ինչ-որ բան այն չէ, երբ իր միջոցները չեն վերադարձվել իր հաշվին:

Նա անմիջապես մեքենայով գնաց իր տեղական Chase բանկի մասնաճյուղ, որտեղ նրան ասացին, որ հավանաբար խարդախության զոհ է դարձել: Mullenaux-ն ասաց, որ հարցը չի լուծվել որևէ հրատապ զգացումով, և հակառակ մետաղալարով փոխանցման փորձը, որը FTC-ն առաջարկում է հաճախորդներին խնդրել, չի առաջարկվել որպես տարբերակ:

Փոխարենը, Մուլենոն ասաց, որ մասնաճյուղի աշխատակիցն իրեն ասել է, որ 10 օրվա ընթացքում փոստով փաթեթ կստանա, որը կարող է լրացնել հայց ներկայացնելու համար: Մուլենոն անմիջապես խնդրեց փաթեթը: Նա լրացրեց և նույն օրը ներկայացրեց։

Այդ պահանջը, ինչպես նաև երկրորդ Mullenaux-ը, որը ներկայացվել էր գործադիր իշխանություն, մերժվեցին: Հարցը հետաքննող աշխատակիցներն ասացին, որ Մուլենոն զանգահարել է թղթային փոխանցումները թույլատրելու համար:

CNBC-ն Չեյսին տրամադրեց Մուլենոյի բջջային հեռախոսի ձայնագրությունները, որոնք ցույց էին տալիս, որ նա երբեք որևէ ելքային հեռախոսազանգ չի կատարել Չեյսին տվյալ օրը: Արձանագրությունները նաև ենթադրում են, որ, երբ համեմատվում են մետաղալարով փոխանցման գրառումների հետ, չէր կարող լինել Մալենոն, ով զանգահարեց Չեյզին՝ թույլատրելու դրամական փոխանցումները, քանի որ բոլոր երեքն էլ լիազորված էին և անցան այն ժամանակ, երբ Մալենոն դեռ հեռախոսով խոսում էր խաբեբաների հետ:

Այնուամենայնիվ, դա չփոխեց բանկի որոշումը և, կրկին, Մուլենոյի հայցը մերժվեց, քանի որ նա կիսվել էր իր անձնական տեղեկություններով հանցագործների հետ:

Անկախ նրանից՝ խաբեբաները հասկացան, որ դա անում են, թե ոչ, նրանք հաջողությամբ օգտվեցին սպառողների պաշտպանության ներկայիս օրենսդրության երկու բացերից, որոնք հանգեցրին նրան, որ Չեյզը պարտավոր չէր փոխարինել Mullenaux-ի գողացված միջոցները: Իրավաբանորեն, բանկերը պարտավոր չեն փոխհատուցել գողացված միջոցները, երբ հաճախորդին խաբում են՝ փող ուղարկելով կիբերհանցագործին:

Այնուամենայնիվ, Էլեկտրոնային ֆոնդերի փոխանցման մասին օրենքի համաձայն, որն ընդգրկում է էլեկտրոնային գործարքների մեծ մասը, ինչպիսիք են հավասարազոր վճարումները և առցանց վճարումները կամ փոխանցումները, բանկերը պարտավոր են վճարել հաճախորդներին, երբ միջոցները գողանում են առանց հաճախորդի թույլտվության: Ցավոք, դրամական փոխանցումները, որոնք ենթադրում են դրամական փոխանցումներ մի բանկից մյուսը, ներառված չեն ակտով, ինչը բացառում է նաև թղթային չեկերի և կանխավճարային քարտերի հետ կապված խարդախությունները:

Կիբերհանցագործները նաև դրամական փոխանցումներ սկսելուց առաջ Մուլենոյի անձնական չեկային և խնայողական հաշիվներից միջոցներ են փոխանցել նրա բիզնես հաշվին: Կանոնակարգ E-ն, որը կոչված է օգնելու սպառողներին վերադարձնել իրենց գումարը չարտոնված գործարքից, պաշտպանում է միայն անհատներին, այլ ոչ թե բիզնես հաշիվներին:

Chase-ի ներկայացուցիչն ասել է, որ հետաքննությունը շարունակվում է, քանի որ բանկը փորձում է վերականգնել գողացված միջոցները:

Դա մի բան է, որի համար Մուլենոն ասում է, որ աղոթում է: «Ես աղոթում եմ, որ այս ողբերգությունը ինչ-որ կերպ հաշտվի, որ [բանկի] ղեկավարությունը տեսնի, թե ինչ կատարվեց ինձ հետ, և իմ գումարները վերադարձվեն»:

Մալենոն նաև հաղորդումներ է ներկայացրել տեղի ոստիկանությանը և ՀԴԲ-ի ինտերնետային հանցագործությունների բողոքարկման կենտրոնին, բայց ոչ մեկը չի կապվել նրա հետ իր գործի վերաբերյալ:

Այս բարդ սխեմաներով կիբերհանցագործների թիրախում միայն Chase-ի հաճախորդները չեն: Այս անցյալ ամառ IronNet-ը բացահայտեց «ֆիշինգ-որպես ծառայություն» հարթակ որը պատրաստի ֆիշինգի հավաքածուներ է վաճառում կիբերհանցագործներին, որոնք ուղղված են ԱՄՆ-ում գործող ընկերություններին, ներառյալ բանկերին: Հարմարեցվող փաթեթները կարող են արժենալ ամսական 50 դոլար և ներառել կոդ, գրաֆիկա և կազմաձևման ֆայլեր, որոնք նման են բանկի մուտքի էջերին:

IronNet-ի սպառնալիքների վերլուծության մենեջեր Ջոյ Ֆիցպատրիկը ասում է, որ թեև ինքը չի կարող հստակ ասել, որ Մալենոյին այդպես են խաբել, «նրա դեմ հարձակումը կրում է հարձակվողների բոլոր հատկանիշները, որոնք օգտագործում են նույն տեսակի մուլտիմոդալ գործիքները, ինչ ֆիշինգը. -a-service հարթակներն ապահովում են»:

Նա ակնկալում է, որ «որպես ծառայության» տիպի առաջարկները միայն կշարունակեն գրավել, քանի որ փաթեթները ոչ միայն իջեցնում են ցածր և միջին մակարդակի կիբերհանցագործների համար ֆիշինգ արշավներ ստեղծելու արգելքը, այլև այն հնարավորություն է տալիս ավելի բարձր մակարդակի հանցագործներին կենտրոնանալ: մեկ տարածքում և մշակել ավելի բարդ մարտավարություններ և չարամիտ ծրագրեր:

«Միայն 10 թվականի հունվարին մենք տեսել ենք ֆիշինգի հավաքածուների 2023%-ով աճ», - ասաց Ֆիցպատրիկը:

2022 թվականին ընկերությունն արձանագրել է ֆիշինգի մասին ահազանգերի և հայտնաբերման 45% աճ:

Բայց դա ոչ միայն ֆիշինգի սխեմաներն են աճում, այլ բոլորը կիբերհարձակումներ են: Check Point-ի տվյալները ցույց են տվել, որ 2022 թվականին ֆինանսական/բանկային հատվածի վրա շաբաթական կիբերհարձակումների 52% աճ է գրանցվել՝ համեմատած 2021 թվականի հարձակումների հետ:

«Կիբերհարձակումների և խարդախության սխեմաների բարդությունը վերջին մեկ տարվա ընթացքում զգալիորեն աճել է», - ասում է Check Point-ի սպառնալիքների խմբի ղեկավար Սերգեյ Շիկևիչը: «Այժմ, շատ դեպքերում կիբերհանցագործները չեն ապավինում միայն ֆիշինգ/վնասակար նամակներ ուղարկելուն և սպասելով, որ մարդիկ սեղմեն դրա վրա, այլ համատեղում են այն հեռախոսազանգերի, MFA [բազմագործոն նույնականացման] հոգնածության հարձակումների և այլնի հետ»:

Կիբերանվտանգության երկու փորձագետներն էլ ասում են, որ բանկերը կարող են ավելին անել հաճախորդներին կրթելու համար: 

Շիկևիչն ասաց, որ բանկերը պետք է ներդրումներ կատարեն ավելի լավ սպառնալիքների հետախուզության մեջ, որը կարող է հայտնաբերել և արգելափակել կիբերհանցագործների կիրառած մեթոդները: Օրինակ, որը նա բերեց, համեմատում է մուտքը մարդու թվային «մատնահետքի» հետ, որը հիմնված է այնպիսի տվյալների վրա, ինչպիսիք են հաշվի օգտագործած դիտարկիչը, էկրանի լուծաչափը կամ ստեղնաշարի լեզուն:

Կար մի բան, որի շուրջ Չեյսը, դաշնային գործակալությունները և կիբերանվտանգության փորձագետները համաձայն էին. եթե հաճախորդը հեռախոսազանգ է ստանում իր բանկից, և անձը սկսում է տեղեկատվություն խնդրել, անջատիր հեռախոսը և ինքդ ետ կանչիր բանկ:

«Եթե սպառողը անսպասելի զանգ, տեքստ կամ էլփոստ է ստանում որևէ մեկից, ով պնդում է, որ իր բանկից է, ինչի մասին զգուշացնում է նրան խնդրի մասին, սպառողը պետք է անջատի հեռախոսը (կամ ջնջի տեքստը/էլփոստը և չսեղմի հղումները): և փորձեք զանգահարել իրենց բանկ այն հեռախոսահամարով, որը նրանք գիտեն, որ իրական է», - ասաց FTC-ի ներկայացուցիչը:

Կիբերհանցագործները կարող են կեղծել զանգահարողի ID-ն, և նրանք կարող են օգտագործել գողացված անձնական տվյալները՝ խաբեությամբ զոհին գումար փոխանցելու համար:

Խնդրում ենք ուղարկել խորհուրդներ [էլեկտրոնային փոստով պաշտպանված]