「フィッシング・アズ・ア・サービス」キットが盗難の増加を後押し: ある事業主の話

銀行はサイバーセキュリティと不正行為の検出に多額の費用を費やしてきましたが、犯罪の手口が銀行員を騙すほど巧妙になったらどうなるでしょうか? 

Cody Mullenaux にとって、それは盗まれた資金を取り戻す望みがほとんどないまま、チェースの当座預金口座から 120,000 ドル以上が電信送金されることを意味していました。

カリフォルニア州出身の 40 歳の中小企業経営者である Mullenaux 氏の物語は、19 月 XNUMX 日に始まりました。彼の幼い娘のためにクリスマスの買い物をしているときに、彼は Chase の詐欺部門と名乗る人物から電話を受け、検証を求めました。疑わしい取引。

800 の番号は Chase のカスタマー サービスと一致していたので、本人確認のためにテキスト メッセージで送信された安全なリンクを介してアカウントにログインするよう求められたとき、Mullenaux 氏は疑わしいとは思いませんでした。 リンクは本物のように見え、開いた Web サイトは彼の Chase バンキング アプリと同じように見えたので、彼はログインしました。 

「チェイスの正当な代理人と話していないことなど、頭に浮かびませんでした」とムレノーはCNBCに語った。

消費者が警戒しなければならないのは、疑わしいメールやリンクだけだった時代は終わりました。 サイバー犯罪者の戦術は多面的なスキームに変化しており、複数の犯罪者がチームとして行動し、電話番号を隠して被害者の銀行のログイン ページを模倣するキットで販売されている既製のソフトウェアを含む高度な戦術を展開しています。 サイバーセキュリティの専門家によると、これは蔓延している脅威であり、活動が増加しています。 彼らは、それが悪化するだけだと予測しています。 残念ながら、これらのスキームの被害者にとって、銀行は盗まれた資金を常に返済する必要があるわけではありません。

ログインした後、Mullenaux 氏は、自分の口座間で多額の資金が移動しているのを見たと述べました。 電話の相手は、誰かが彼の口座に積極的に彼のお金を盗もうとしていて、それを安全に保つ唯一の方法は銀行の監督者に送金することだと言いました。

苦労して貯めた貯金が盗まれるのではないかと恐れたムルノー氏は、XNUMX 時間近く電話をかけ続け、与えられたすべての指示に従い、尋ねられた追加の秘密の質問に答えたと語った。 

CNBC は、Mullenaux の携帯記録、銀行口座情報、送信されたテキスト メッセージとリンクの画像を確認しました。

空気中の水分をろ過された水に変換するテクノロジー企業、Aquaphant の発明者であり創設者である Mullenaux 氏は、電話の相手が洗練されたサイバー犯罪チームの一員であることを知りませんでした。

Mullenaux がこの偽の詐欺部門の担当者と話していたとき、XNUMX 人目の詐欺師が Chase との別の電話で Mullenaux になりすまして電信送金を承認していました。 Mullenaux が尋ねた秘密の質問に対するすべての回答は、XNUMX 番目の詐欺師に提供されていました。 これにより、詐欺師は正しい答えを提供し、Chase の従業員が口座所有者と話していると確信することができました。

デマはうまくいきました。 Chase の従業員が、120,000 回の電信送金の承認を求めたのは Mullenaux であると確信すると、彼の銀行口座から XNUMX 万ドル以上が失われ、彼の最善の努力にもかかわらず、XNUMX ドルも回収されませんでした。 

CNBCへの声明では、 チェイス 広報担当者は、「銀行は詐欺を防ぐために、消費者や企業に自分自身や他の誰かに送金するよう求めることは決してありませんが、詐欺師はそうします. あなたが本当にチェイスと話していることを確認するには、カードの裏にある番号に電話するか、支店に行ってください。」

Mullenaux 氏は、盗まれた資金を取り戻そうとした経験に苛立ちと敗北を感じていると語った。

「顧客を保護するために何をしようとも、詐欺師は常に一歩先を行っています」とMullenaux氏は述べ、彼のお金はサイバー犯罪者が標的にしている大手銀行よりも靴箱の方が安全だったと付け加えた.

連邦取引委員会は、電信送金を介して詐欺師に送金した可能性があると考えている顧客は、直ちに銀行に連絡し、不正な送金を報告し、送金の取り消しを依頼するようアドバイスしています。

FTC は CNBC に、不正な電信送金で送金された資金を取り戻そうとするときは時間が重要であると語った。 同局は、被害者は、可能であれば同日または翌日に、FBI のインターネット犯罪苦情センターだけでなく、同局にも犯罪を報告する必要があると述べました。 

Mullenaux 氏は、翌朝、資金が口座に戻されていないことに気付いたという。

彼はすぐに地元のチェース銀行の支店に車で行き、詐欺の被害者である可能性が高いと言われました。 Mullenaux 氏は、この問題は緊急性を持って処理されておらず、FTC が顧客が要求することを示唆している逆電信送金の試みはオプションとして提供されていないと述べた。

その代わり、Mullenaux は、支店の従業員が、請求を提出するために記入できる小包を 10 日以内に郵便で受け取ると言ったと言いました。 Mullenaux はすぐにパケットを要求しました。 彼はそれを記入し、同じ日に提出した。

その主張は、Mullenaux が行政府に提出した XNUMX 番目の主張とともに、却下された。 この問題を調査している従業員は、Mullenaux が電信送金を承認するために電話したと述べました。

CNBC はチェイスに、問題の日にチェイスに電話をかけたことがないことを示すムレノーの携帯電話の記録を提供しました。 記録はまた、電信送金の記録と比較すると、電信送金を承認するために Chase に電話したのは Mullenaux ではなかった可能性があることも示唆しています。

しかし、それでも銀行の決定は変わりませんでした。また、Mullenaux の主張は犯罪者と個人情報を共有したため、却下されました。

詐欺師は、自分がそうしていることに気づいていたかどうかにかかわらず、現在の消費者保護法の XNUMX つの抜け穴を悪用することに成功し、その結果、チェースはミュルノーの盗まれた資金を交換する必要がなくなりました。 法的には、顧客がだまされてサイバー犯罪者に送金された場合、銀行は盗まれた資金を払い戻す必要はありません。

ただし、ピアツーピア決済やオンライン決済または送金など、ほとんどの種類の電子取引を対象とする電子資金振替法の下では、顧客の承認なしに資金が盗まれた場合、銀行は顧客に返済する必要があります。 残念ながら、ある銀行から別の銀行への送金を含む電信送金は、この法律の対象外であり、紙の小切手やプリペイド カードを含む詐欺も除外されています。

サイバー犯罪者はまた、電信送金を開始する前に、Mullenaux の個人の当座預金口座と普通預金口座から彼のビジネス口座に資金を送金しました。 レギュレーション E は、消費者が不正な取引からお金を取り戻せるようにすることを目的としており、個人のみを保護し、ビジネス アカウントは保護しません。

チェースの代表者は、銀行が盗まれた資金を取り戻そうとしているため、調査が進行中であると述べました。

それがミュルノーが祈っていることだと言っています。 「この悲劇が何とか和解し、（銀行の）経営陣が私に何が起こったのかを見て、私のお金が戻ってくることを祈っています。」

Mullenaux は、地元の警察と FBI の Internet Crime Complaint Center にも報告書を提出しましたが、どちらも彼の事件について彼に連絡していません。

これらの巧妙な手口でサイバー犯罪者の標的にされているのは、Chase の顧客だけではありません。 この夏、IronNet が発見されました 「サービスとしてのフィッシング」プラットフォーム 銀行を含む米国を拠点とする企業を標的とするサイバー犯罪者に、既製のフィッシング キットを販売しています。 カスタマイズ可能なキットは、月額わずか 50 ドルで、銀行のログイン ページに似せたコード、グラフィック、構成ファイルが含まれています。

IronNet の脅威分析マネージャーである Joey Fitzpatrick 氏は、Mullenaux 氏がどのように詐欺に遭ったかは定かではありませんが、「彼に対する攻撃は、フィッシング詐欺と同じ種類のマルチモーダル ツールを利用する攻撃者のすべての特徴を備えている」と述べています。 -a-service プラットフォームが提供します。」

彼は、キットが低層から中層のサイバー犯罪者がフィッシング キャンペーンを作成するためのハードルを下げるだけでなく、高層の犯罪者が集中できるようにするため、「サービスとしての」タイプの製品は引き続き勢いを増すと予想しています。単一の領域で攻撃し、より洗練された戦術とマルウェアを開発します。

「10 年 2023 月だけで、フィッシング キットの展開が XNUMX% 増加しました」と Fitzpatrick 氏は述べています。

2022 年には、フィッシングのアラートと検出が 45% 増加しました。

しかし、増加しているのはフィッシング詐欺だけではなく、すべてサイバー攻撃です。 Check Point のデータによると、2022 年には、52 年の攻撃と比較して、金融/銀行セクターに対する毎週のサイバー攻撃が 2021% 増加しました。

Check Point の脅威グループ マネージャーである Sergey Shykevich は、次のように述べています。 「現在、多くの場合、サイバー犯罪者はフィッシング/悪意のある電子メールを送信して人々がクリックするのを待つだけでなく、電話、MFA [多要素認証] 疲労攻撃などと組み合わせています。」

両方のサイバーセキュリティの専門家は、銀行は顧客を教育するためにもっとできることがあると述べました。 

Shykevich 氏は、銀行は、サイバー犯罪者が使用する方法を検出してブロックできる、より優れた脅威インテリジェンスに投資する必要があると述べています。 彼が挙げた例は、ログインを人のデジタル「指紋」と比較することです。これは、アカウントが使用するブラウザ、画面解像度、キーボード言語などのデータに基づいています。

チェース、連邦政府機関、サイバーセキュリティの専門家がすべて同意したことが XNUMX つあります。それは、顧客が銀行から電話を受け、その人が情報を求め始めたら、電話を切り、自分で銀行に電話をかけ直すことです。

「消費者が、自分の銀行からのものであると主張する人から突然、問題を警告する電話、テキスト、または電子メールを受信した場合、消費者は電話を切る必要があります (または、テキスト/電子メールを削除し、リンクをクリックしないでください)。本物だとわかっている電話番号で銀行に電話してみてください」と FTC のスポークスマンは言いました。

サイバー犯罪者は、発信者 ID を偽装する能力を持っており、盗んだ個人情報を使用して被害者をだまして金銭を渡す可能性があります。

ヒントをメールで送ってください [メール保護]