کیت‌های «فیشینگ به‌عنوان سرویس» دزدی را افزایش می‌دهد: داستان یک صاحب کسب‌وکار

بانک‌ها مبالغ هنگفتی را صرف امنیت سایبری و کشف کلاهبرداری کرده‌اند، اما چه اتفاقی می‌افتد وقتی تاکتیک‌های مجرمانه به اندازه کافی پیچیده باشد که حتی کارمندان بانک را فریب دهد؟ 

برای Cody Mullenaux، این به معنای داشتن بیش از 120,000 دلار از حساب چکش چیس با امید کمی برای بازگرداندن وجوه دزدیده شده اش بود.

حماسه برای Mullenaux، صاحب یک کسب و کار کوچک 40 ساله از کالیفرنیا، در 19 دسامبر آغاز شد. در حالی که کریسمس برای دختر خردسالش خرید می کرد، از فردی تماس گرفت که ادعا می کرد از دپارتمان کلاهبرداری چیس است و از او خواسته بود تا بررسی کند. یک معامله مشکوک

شماره 800 با خدمات مشتری Chase مطابقت داشت، بنابراین Mullenaux فکر نمی‌کرد که مشکوک باشد وقتی فرد از او می‌خواست از طریق یک پیوند امن ارسال شده از طریق پیام متنی برای اهداف شناسایی وارد حساب کاربری خود شود. پیوند قانونی به نظر می‌رسید و وب‌سایتی که باز شد مشابه برنامه بانکی Chase او بود، بنابراین او وارد سیستم شد. 

مولنو به CNBC گفت: «حتی به ذهنم خطور نکرد که با نماینده قانونی چیس صحبت نمی‌کنم.

روزگاری گذشته است که تنها چیزی که مصرف کننده باید از آن احتیاط می کرد، ایمیل یا لینک مشکوک بود. تاکتیک‌های مجرمان سایبری به طرح‌های چند وجهی تبدیل شده است، با مجرمان متعددی که به عنوان یک تیم برای به کارگیری تاکتیک‌های پیچیده شامل نرم‌افزارهای آماده فروخته شده در کیت‌هایی که شماره تلفن‌ها را پنهان می‌کنند و صفحات ورود به سیستم بانک قربانی را تقلید می‌کنند، عمل می‌کنند. این یک تهدید فراگیر است که کارشناسان امنیت سایبری می گویند که باعث افزایش فعالیت می شود. آنها پیش بینی می کنند که فقط بدتر خواهد شد. متأسفانه، برای قربانیان این طرح ها، بانک همیشه ملزم به بازپرداخت وجوه سرقت شده نیست.

پس از ورود به سیستم، مولنو گفت که مقدار زیادی پول بین حساب هایش جابجا شده است. شخصی که در تلفن صحبت می کرد به او گفت که شخصی در حسابش فعالانه تلاش می کند پول او را بدزدد و تنها راه برای ایمن نگه داشتن آن انتقال پول به سرپرست بانک است، جایی که به طور موقت نگه داشته می شود تا زمانی که آنها حساب او را ایمن کنند.

مولنو که از اینکه پس‌اندازش که به سختی به دست آورده بود می‌ترسید که نزدیک به سرقت شود، گفت که نزدیک به سه ساعت با تلفن صحبت کرده است، تمام دستورالعمل‌هایی را که به او داده شده بود دنبال کرده و به سؤالات امنیتی دیگری که از او پرسیده شده بود، پاسخ داده است. 

CNBC سوابق تلفن همراه مولنو، اطلاعات حساب بانکی و همچنین تصاویر پیام متنی و پیوندی که او ارسال کرده بود را بررسی کرده است.

چیزی که Mullenaux، مخترع و بنیان‌گذار Aquaphant، یک شرکت فناوری که رطوبت هوا را به آب فیلتر شده تبدیل می‌کند، نمی‌دانست این بود که شخصی که تلفن داشت، بخشی از یک تیم مجرمان سایبری پیچیده بود.

در حالی که Mullenaux با این نماینده بخش کلاهبرداری جعلی صحبت می کرد، یک کلاهبردار دوم در یک تماس تلفنی دیگر با Chase برای مجوز دادن به نقل و انتقالات سیمی جعل هویت Mullenaux بود. تمام پاسخ‌های سؤالات امنیتی که از Mullenaux پرسیده شد، سپس به کلاهبردار دوم داده شد. این به کلاهبرداران اجازه داد تا پاسخ‌های صحیح را ارائه کنند و کارمند چیس را متقاعد کنند که با دارنده حساب صحبت می‌کنند.

حقه کار کرد هنگامی که کارمند چیس متقاعد شد که این مولنو است که برای تایید این سه انتقال سیمی تماس گرفته است، بیش از 120,000 دلار از حساب بانکی او ناپدید شد و علیرغم تلاش‌های او هیچ‌یک از آنها بازپرداخت نشد. 

در بیانیه ای به CNBC، الف تعقیب سخنگو گفت: «بانک‌ها هرگز از مصرف‌کنندگان یا کسب‌وکارها نمی‌خواهند که برای جلوگیری از کلاهبرداری برای خود یا دیگران پول ارسال کنند، اما کلاهبرداران این کار را خواهند کرد. برای تأیید اینکه واقعاً با چیس صحبت می کنید، با شماره پشت کارت خود تماس بگیرید یا به شعبه مراجعه کنید.

مولنو گفت که از تجربه خود در تلاش برای بازیابی وجوه دزدیده شده خود احساس ناامیدی و شکست می کند.

مولنو گفت: «مهم نیست که آنها برای محافظت از مشتریان چه می‌کنند، کلاهبرداران همیشه یک قدم جلوتر هستند.

کمیسیون تجارت فدرال توصیه می کند که هر مشتری که فکر می کند ممکن است از طریق حواله سیمی برای کلاهبرداران پول ارسال کرده باشد، باید فوراً با بانک خود تماس بگیرد، نقل و انتقال جعلی را گزارش کند و بخواهد آن را برگرداند.

FTC به CNBC گفت: زمان برای بازیابی وجوه ارسال شده از طریق انتقال سیمی جعلی بسیار مهم است. این آژانس گفت قربانیان همچنین باید جنایت را در صورت امکان در همان روز یا روز بعد به آژانس و همچنین مرکز شکایات جرایم اینترنتی FBI گزارش دهند. 

مولنو گفت صبح روز بعد وقتی پولش به حسابش برنگشته بود متوجه شد مشکلی پیش آمده است.

او بلافاصله به شعبه بانک چیس محلی خود رفت و در آنجا به او گفتند که احتمالا قربانی کلاهبرداری شده است. Mullenaux گفت که این موضوع با هیچ احساس فوریت بررسی نشد و تلاش برای انتقال سیم معکوس، که FTC پیشنهاد می کند مشتریان درخواست کنند، به عنوان یک گزینه پیشنهاد نشده است.

در عوض، مولنو گفت که کارمند شعبه به او گفته است که ظرف 10 روز بسته ای را از طریق پست دریافت می کند که می تواند برای ثبت ادعای خود آن را پر کند. مولنو فوراً بسته را درخواست کرد. او آن را پر کرد و همان روز ارائه کرد.

این ادعا، همراه با ادعای دوم Mullenaux که در قوه مجریه ثبت شد، رد شد. کارمندانی که در حال بررسی این موضوع بودند گفتند که مولنو برای صدور مجوز برای انتقال پول تماس گرفته است.

CNBC سوابق تلفن همراه مولنو را در اختیار چیس قرار داد که نشان می داد او هرگز در روز مورد نظر با چیس تماس تلفنی نداشته است. سوابق همچنین در مقایسه با سوابق انتقال سیمی نشان می‌دهند که نمی‌توانست مولنوکس بوده باشد که با چیس تماس گرفته تا انتقالات سیمی را تأیید کند، زیرا هر سه آنها مجاز بودند و در حالی که مولنو هنوز با کلاهبرداران تماس تلفنی داشت انجام دادند.

با این حال، این تصمیم بانک را تغییر نداد و دوباره ادعای مولنو رد شد زیرا او اطلاعات خصوصی خود را با مجرمان به اشتراک گذاشته بود.

خواه کلاهبرداران متوجه شوند که این کار را انجام می دهند یا نه، آنها با موفقیت از دو حفره در قوانین فعلی حمایت از مصرف کننده سوء استفاده کردند که منجر به عدم نیاز چیس به جایگزینی وجوه دزدیده شده Mullenaux شد. از نظر قانونی، بانک ها مجبور نیستند وجوه دزدیده شده را زمانی که مشتری فریب داده می شود تا پولی را برای یک مجرم سایبری ارسال کند، بازپرداخت کنند.

با این حال، بر اساس قانون انتقال الکترونیکی وجوه، که اکثر انواع تراکنش‌های الکترونیکی مانند پرداخت‌های همتا به همتا و پرداخت‌ها یا نقل و انتقالات آنلاین را پوشش می‌دهد، بانک‌ها موظفند در صورت سرقت وجوه بدون اجازه مشتری، به مشتریان بازپرداخت کنند. متأسفانه، حواله‌های سیمی، که شامل انتقال پول از بانکی به بانک دیگر است، مشمول این قانون نمی‌شود، که کلاهبرداری شامل چک‌های کاغذی و کارت‌های پیش‌پرداخت را نیز مستثنی می‌کند.

مجرمان سایبری همچنین وجوهی را از حساب‌های چک و پس‌انداز شخصی مولنو قبل از شروع نقل و انتقالات به حساب تجاری وی منتقل کردند. مقررات E، که برای کمک به مصرف کنندگان برای بازگرداندن پول خود از یک تراکنش غیرمجاز طراحی شده است، فقط از افراد محافظت می کند، نه حساب های تجاری.

یکی از نمایندگان چیس گفت که تحقیقات همچنان ادامه دارد زیرا بانک تلاش می کند وجوه دزدیده شده را بازیابی کند.

این چیزی است که مولنو می گوید که برای آن دعا می کند. من دعا می کنم که این فاجعه به نحوی آشتی شود، مدیریت [بانک] ببیند چه بر سر من آمده و پولم برگردانده شود.»

مولنو همچنین گزارش هایی را با پلیس محلی و مرکز شکایات جرایم اینترنتی FBI ارائه کرده است، اما هیچ یک با او در مورد پرونده او تماس نگرفته اند.

این فقط مشتریان Chase نیست که توسط مجرمان سایبری با این طرح های پیچیده هدف قرار می گیرند. تابستان گذشته، آیرون نت فاش کرد یک پلت فرم "فیشینگ به عنوان یک سرویس". که کیت های فیشینگ آماده را به مجرمان سایبری می فروشد که شرکت های مستقر در ایالات متحده از جمله بانک ها را هدف قرار می دهند. کیت های قابل تنظیم می تواند حداقل 50 دلار در ماه هزینه داشته باشد و شامل کد، گرافیک و فایل های پیکربندی برای شبیه به صفحات ورود به سیستم بانکی باشد.

جوی فیتزپاتریک، مدیر تجزیه و تحلیل تهدید در IronNet، گفت که اگرچه نمی‌تواند به طور قطع بگوید که مولنو اینگونه کلاهبرداری شده است، «حمله علیه او دارای تمام ویژگی‌های مهاجمانی است که از همان ابزارهای چندوجهی استفاده می‌کنند که فیشینگ. پلتفرم‌های یک سرویس ارائه می‌کنند.»

او انتظار دارد که ارائه‌های نوع «به‌عنوان یک سرویس» تنها به جذابیت خود ادامه دهند، زیرا این کیت‌ها نه تنها نوار مجرمان سایبری سطح پایین تا متوسط ​​را برای ایجاد کمپین‌های فیشینگ کاهش می‌دهند، بلکه مجرمان رده بالاتر را نیز قادر می‌سازد تا تمرکز کنند. در یک منطقه واحد و توسعه تاکتیک ها و بدافزارهای پیچیده تر.

فیتزپاتریک گفت: «ما تنها در ژانویه 10 شاهد افزایش 2023 درصدی در استقرار کیت های فیشینگ بوده ایم.

در سال 2022، این شرکت شاهد افزایش 45 درصدی هشدارها و شناسایی فیشینگ بود.

اما این فقط طرح های فیشینگ در حال افزایش نیست، بلکه همه حملات سایبری هستند. داده های چک پوینت نشان می دهد که در سال 2022 حملات سایبری هفتگی به بخش مالی/بانکی در مقایسه با حملات 52 افزایش 2021 درصدی داشته است.

سرگئی شیکویچ، مدیر گروه تهدید در چک پوینت، گفت: «پیچیدگی حملات سایبری و طرح‌های کلاهبرداری در سال گذشته به طور قابل توجهی افزایش یافته است. اکنون، در بسیاری از موارد مجرمان سایبری تنها به ارسال ایمیل‌های فیشینگ/مخاطب و منتظر کلیک کردن افراد روی آن متکی نیستند، بلکه آن را با تماس‌های تلفنی، حملات خستگی MFA [تأیید هویت چند عاملی] و موارد دیگر ترکیب می‌کنند.»

هر دو کارشناس امنیت سایبری گفتند که بانک ها می توانند کارهای بیشتری برای آموزش مشتریان انجام دهند. 

شایکویچ گفت: بانک‌ها باید روی اطلاعات تهدید بهتری سرمایه‌گذاری کنند که بتواند روش‌های مورد استفاده مجرمان سایبری را شناسایی و مسدود کند. مثالی که او ارائه کرد، مقایسه یک ورود به سیستم با «اثر انگشت» دیجیتالی یک شخص است که بر اساس داده‌هایی مانند مرورگری که حساب کاربری استفاده می‌کند، وضوح صفحه یا زبان صفحه کلید است.

یک چیز وجود داشت که چیس، آژانس های فدرال و کارشناسان امنیت سایبری همگی در مورد آن توافق داشتند: اگر مشتری از بانک خود تماس تلفنی دریافت کرد و شخص شروع به درخواست اطلاعات کرد، تلفن را قطع کنید و خودتان با بانک تماس بگیرید.

«اگر مصرف‌کننده‌ای از کسی که ادعا می‌کند از بانکش است تماس، پیامک یا ایمیل دریافت می‌کند که مشکلی را به او اطلاع می‌دهد، مصرف‌کننده باید تلفن را قطع کند (یا متن/ایمیل را حذف کند و روی پیوندها کلیک نکند) سخنگوی FTC گفت و سعی کنید با شماره تلفنی که آنها می دانند واقعی است تماس بگیرید.

مجرمان سایبری توانایی جعل شناسه تماس گیرنده را دارند و ممکن است از اطلاعات شخصی دزدیده شده برای فریب قربانی برای تحویل پول استفاده کنند.

لطفا راهنمایی های ایمیل را به [ایمیل محافظت شده]