"Үйлчилгээ болгон фишинг"-ийн иж бүрдэл нь хулгайн гэмтлийг нэмэгдүүлж байна: Нэг бизнес эрхлэгчийн түүх

Банкууд кибер аюулгүй байдал, залилан мэхлэлтийг илрүүлэхэд асар их мөнгө зарцуулсан боловч банкны ажилтнуудыг хуурах хүртэл гэмт хэргийн тактик нь хангалттай боловсронгуй байвал яах вэ? 

Коди Мулленаусын хувьд энэ нь хулгайлсан мөнгөө хэзээ ч нөхөх найдвар багатай Chase данснаас 120,000 гаруй доллар шилжүүлсэн гэсэн үг юм.

Калифорниас гаралтай 40 настай жижиг бизнес эрхлэгч Мулленогийн тухай үлгэр 19-р сарын XNUMX-нд эхэлсэн. Зул сарын баяраар бяцхан охиноо худалдаж авах гэж байхад нь түүнийг Chase-ийн залилангийн хэлтсээс нэгэн хүн дуудаж, шалгахыг хүссэн байна. сэжигтэй гүйлгээ.

800 дугаартай Chase харилцагчийн үйлчилгээтэй таарч байсан тул Mullenaux түүнийг таних зорилгоор мессежээр илгээсэн хамгаалагдсан холбоосоор данс руугаа нэвтрэхийг хүсэхэд сэжигтэй гэж үзээгүй. Холбоос нь хууль ёсны бөгөөд нээгдсэн вэбсайт нь түүний Chase банкны программтай адилхан харагдаж байсан тул тэр нэвтэрсэн. 

Мулленаux CNBC-д хэлэхдээ "Би Chase-ийн хууль ёсны төлөөлөгчтэй яриагүй байна гэж хэзээ ч бодож байгаагүй."

Хэрэглэгчийн болгоомжлох цорын ганц зүйл бол сэжигтэй имэйл эсвэл холбоос байсан үе өнгөрсөн. Кибер гэмт хэрэгтнүүдийн тактик нь олон талт схемүүд болон хувирч, олон гэмт хэрэгтнүүд хохирогчийн банкны утасны дугаарыг далдлах, нэвтрэх хуудсыг дуурайлган иж бүрдэлд худалдсан бэлэн программ хангамжийг багтаасан нарийн тактикийг ашиглах нэг баг болж ажилладаг. Энэ нь кибер аюулгүй байдлын мэргэжилтнүүдийн үзэж байгаагаар үйл ажиллагааны өсөлтийг өдөөж байгаа өргөн тархсан аюул юм. Энэ нь улам дордох болно гэж тэд таамаглаж байна. Харамсалтай нь, эдгээр схемийн хохирогчдын хувьд банк хулгайлсан мөнгөө буцааж төлөх шаардлагагүй байдаг.

Түүнийг нэвтэрсний дараа Mullenaux өөрийн дансны хооронд их хэмжээний мөнгө хөдөлж байгааг харсан гэжээ. Утсаар ярьж буй хүн түүнд хэн нэгэн түүний дансанд мөнгийг нь хулгайлахыг оролдож байгаа бөгөөд аюулгүй байлгах цорын ганц арга бол банкны хянагч руу мөнгө шилжүүлж, дансыг нь хамгаалж байх хооронд түр хадгална гэж хэлсэн.

Маш их хөдөлмөрлөж олсон хадгаламжаа хулгайд алдах гэж байна гэж айсан Муллено утсаар гурван цаг орчим байж, түүнд өгсөн бүх зааврыг дагаж, аюулгүй байдлын нэмэлт асуултуудад хариулсан гэжээ. 

CNBC Mullenaux-ийн үүрэн холбооны бүртгэл, банкны дансны мэдээлэл, мөн түүний илгээсэн мессеж, линкийн зургийг хянаж үзсэн байна.

Агаар дахь чийгийг шүүсэн ус болгон хувиргадаг технологийн компани болох Aquaphant-ийн зохион бүтээгч, үүсгэн байгуулагч Mullenaux утсаар ярьж буй хүн нь кибер гэмт хэрэгтэй тэмцэх нарийн багийн нэг хэсэг байсныг мэдэхгүй байв.

Муллено энэ хуурамч залилангийн албаны төлөөлөгчтэй ярилцаж байх хооронд хоёр дахь луйварчин Чейзтэй утсаар ярихдаа Мулленаусын дүрийг үзүүлж, мөнгө шилжүүлэх зөвшөөрөл олгосон байна. Mullenaux-аас асуусан аюулгүй байдлын асуултын бүх хариултыг дараа нь хоёр дахь луйварчинд өгч байсан. Энэ нь залилан мэхлэгчдэд зөв хариулт өгч, Chase-ийн ажилтанд данс эзэмшигчтэй ярьж буйгаа итгүүлэх боломжийг олгосон.

Хууран мэхлэлт амжилттай болсон. Chase-ийн ажилтан гурван мөнгөн гуйвуулга хийх зөвшөөрөл өгөхийг хүссэн хүн нь Муллено мөн гэдэгт итгэлтэй байх үед түүний данснаас 120,000 гаруй доллар алга болсон бөгөөд түүний бүх хүчин чармайлтыг үл харгалзан нэгийг нь ч нөхөж чадаагүй юм. 

CNBC-д өгсөн мэдэгдэлдээ, А Chase Хэвлэлийн төлөөлөгч хэлэхдээ, "Банкууд хэзээ ч хэрэглэгч, бизнес эрхлэгчдээс өөрсдөдөө болон хэн нэгэнд мөнгө гуйж, залилан мэхлэхээс сэргийлэхийн тулд мөнгө гуйхгүй. Чайзтай үнэхээр ярьж байгаа гэдгээ батлахын тулд картныхаа ард байгаа дугаар руу залгах юм уу эсвэл салбараар зочлоорой."

Муллено хулгайлсан мөнгөө буцааж авах гэж оролдсон туршлагадаа сэтгэл дундуур, ялагдал хүлээсэн гэж мэдэгджээ.

"Үйлчлүүлэгчдээ хамгаалахын тулд юу ч хийсэн луйварчид үргэлж нэг алхам урагшилдаг" гэж Муллено хэлээд түүний мөнгө кибер гэмт хэрэгтнүүдийн онилдог томоохон банкнаас илүү гутлын хайрцагт байх байсан гэж нэмж хэлэв.

Холбооны Худалдааны Комиссоос залилан мэхлэгчид рүү мөнгө шилжүүлсэн гэж үзэж байгаа харилцагч банктайгаа шууд холбогдож, залилан мэхэлсэн гуйвуулгын талаар мэдэгдэж, буцаан авахыг хүснэ гэж зөвлөж байна.

Хуурамч мөнгөн гуйвуулгаар илгээсэн мөнгийг сэргээхэд цаг хугацаа маш чухал гэж FTC CNBC-д мэдэгдэв. Хохирогчид гэмт хэргийн талаар тус агентлаг болон Холбооны мөрдөх товчооны интернет гэмт хэргийн гомдлын төвд тухайн өдөр эсвэл боломжтой бол дараагийн өдөр нь мэдэгдэх ёстой гэж тус агентлаг мэдэгдэв. 

Маргааш өглөө нь мөнгөө дансанд нь буцаан аваагүй байхад ямар нэг зүйл буруу болсныг ойлгосон гэж Муллено хэлэв.

Тэр даруй орон нутгийн Чейс банкны салбар руугаа явж, залилангийн хохирогч болсон байх магадлалтай гэж мэдэгджээ. Mullenaux хэлэхдээ, энэ асуудлыг яаралтай шийдвэрлээгүй бөгөөд FTC-ийн санал болгож буй урвуу мөнгө шилжүүлэх оролдлогыг сонголт болгон санал болгосонгүй.

Оронд нь Мулленаук салбарын ажилтан түүнд нэхэмжлэл гаргахын тулд 10 хоногийн дотор илгээмжийг шуудангаар хүлээн авна гэж хэлсэн. Муллено шууд л илгээмжийг гуйв. Тэр өдөртөө бөглөж, өгсөн.

Энэ нэхэмжлэл, хоёр дахь нэг Mullenaux гүйцэтгэх засаглалд гаргасан нэхэмжлэлийг үгүйсгэв. Энэ асуудлыг шалгаж буй ажилтнууд Муллено утсаар мөнгө шилжүүлэх зөвшөөрөл авахаар утасдсан гэж мэдэгджээ.

CNBC Chase-д Mullenaux-ийн гар утасны бичлэгийг өгсөн бөгөөд энэ нь тухайн өдөр Чейс рүү хэзээ ч утсаар ярьж байгаагүй болохыг харуулсан. Бичлэгүүдийг мөнгөн гуйвуулгын бүртгэлтэй харьцуулж үзвэл, Мулленаук луйварчидтай утсаар ярьж байх хооронд гурвуулаа зөвшөөрөлтэй байсан тул Чейс рүү утсаар шилжүүлэг хийх зөвшөөрөл өгсөн нь Муллено байж болохгүй гэдгийг харуулж байна.

Гэсэн хэдий ч энэ нь банкны шийдвэрийг өөрчлөөгүй бөгөөд Мулленогийн нэхэмжлэлийг тэрээр гэмт хэрэгтнүүдэд хувийн мэдээллээ хуваалцсан тул дахин үгүйсгэв.

Луйварчид үүнийг хийж байгаагаа ойлгосон эсэхээс үл хамааран одоогийн хэрэглэгчийн эрхийг хамгаалах хууль тогтоомжийн хоёр цоорхойг амжилттай ашигласан бөгөөд үүний үр дүнд Чейс Мулленаусын хулгайлсан хөрөнгийг солих шаардлагагүй болсон. Хуулийн дагуу харилцагчийг цахим гэмт хэрэгтэн рүү мөнгө илгээх гэж хууран мэхэлсэн тохиолдолд банкууд хулгайлсан мөнгөө нөхөн төлөх шаардлагагүй.

Гэсэн хэдий ч үе тэнгийнхэн хоорондын төлбөр тооцоо, онлайн төлбөр, шилжүүлэг гэх мэт ихэнх төрлийн цахим гүйлгээг хамардаг Цахим сан шилжүүлэх тухай хуулийн дагуу банкууд харилцагчийн зөвшөөрөлгүйгээр мөнгө хулгайлсан тохиолдолд харилцагчийн төлбөрийг төлөх үүрэгтэй. Харамсалтай нь, нэг банкнаас нөгөө банк руу мөнгө шилжүүлэхтэй холбоотой мөнгөн гуйвуулга нь цаасан чек, урьдчилсан төлбөрт карттай холбоотой залилан мэхлэх үйлдлийг тусгахгүй.

Цахим гэмт хэрэгтнүүд мөнгөн гуйвуулга хийхээс өмнө Мулленогийн хувийн данс, хадгаламжийн данснаас мөнгө шилжүүлсэн байна. Хэрэглэгчдэд зөвшөөрөлгүй гүйлгээний улмаас мөнгөө буцааж авахад нь туслах зорилготой Е журам нь бизнесийн дансыг бус зөвхөн хувь хүмүүсийг хамгаалдаг.

Банк хулгайлсан мөнгөө эргүүлэн авахаар оролдож байгаа тул мөрдөн байцаалтын ажиллагаа үргэлжилж байна гэж Чейсийн төлөөлөгч мэдэгдэв.

Энэ бол Мулленаусын төлөө залбирч байгаа зүйл юм. "Энэ эмгэнэлт явдал ямар нэгэн байдлаар эвлэрээсэй, [банкны] удирдлага надад юу тохиолдсоныг харж, мөнгийг минь буцааж өгөөсэй гэж би залбирч байна."

Mullenaux мөн орон нутгийн цагдаа болон Холбооны мөрдөх товчооны Интернет гэмт хэргийн гомдол гаргах төвд мэдүүлэг өгсөн боловч түүний хэргийн талаар түүнтэй холбоо бариагүй байна.

Энэ нь зөвхөн Chase-ийн үйлчлүүлэгчдийг эдгээр нарийн схемээр кибер гэмт хэрэгтнүүдийн онилсон хэрэг биш юм. Өнгөрсөн зун IronNet илрүүлсэн "Үйлчилгээ болгон фишинг" платформ АНУ-д төвтэй компаниуд, тэр дундаа банкууд руу чиглэсэн кибер гэмт хэрэгтнүүдэд бэлэн фишингийн иж бүрдэл худалддаг. Тохируулах боломжтой иж бүрдэл нь сард 50 долларын үнэтэй бөгөөд банкны нэвтрэх хуудастай төстэй код, график, тохиргооны файлуудыг багтаасан болно.

IronNet-ийн аюул заналын шинжилгээний менежер Жой Фицпатрик хэлэхдээ, Мулленауг ингэж луйвардсан гэдгийг баттай хэлж чадахгүй ч "түүний эсрэг хийсэн халдлага нь халдагчид фишингтэй ижил төрлийн мультимодаль хэрэгслийг ашиглаж байгаа бүх шинж тэмдгийг агуулсан" гэжээ. -a-үйлчилгээний платформууд өгдөг."

Энэхүү хэрэгсэл нь бага, дунд түвшний кибер гэмт хэрэгтнүүдэд фишинг хийх кампанит ажлыг бий болгох хязгаарыг бууруулаад зогсохгүй дээд түвшний гэмт хэрэгтнүүдэд анхаарлаа төвлөрүүлэх боломжийг олгодог тул "үйлчилгээний хувьд" төрлийн саналууд улам бүр нэмэгдэнэ гэж тэр найдаж байна. нэг талбар дээр илүү боловсронгуй тактик, хортой програмыг хөгжүүл.

"Зөвхөн 10 оны 2023-р сард бид фишинг иж бүрдэл XNUMX%-иар өссөнийг бид харсан" гэж Фицпатрик хэлэв.

2022 онд тус компани фишингийн дохиолол, илрүүлэлт 45%-иар өссөн байна.

Гэхдээ энэ нь зөвхөн фишингийн схемүүд биш, харин бүх кибер халдлага юм. Check Point-ийн мэдээлснээр 2022 онд санхүү/банкны салбарт долоо хоног тутам кибер халдлагууд 52 оны халдлагатай харьцуулахад 2021 хувиар өссөн байна.

"Сүүлийн нэг жилийн хугацаанд кибер халдлага, залилангийн схемийн боловсронгуй байдал мэдэгдэхүйц нэмэгдсэн" гэж Check Point-ийн аюулын бүлгийн менежер Сергей Шыкевич хэлэв. "Одоо ихэнх тохиолдолд кибер гэмт хэрэгтнүүд зөвхөн фишинг/хорлонтой имэйл илгээж, хүмүүс үүнийг товшихыг хүлээхээс гадна утасны дуудлага, ГХЯ [олон хүчин зүйлийн баталгаажуулалт] ядаргааны халдлага болон бусад зүйлстэй хослуулдаг."

Кибер аюулгүй байдлын мэргэжилтнүүд хоёулаа банкууд үйлчлүүлэгчдийг сургах талаар илүү их зүйлийг хийж чадна гэж хэлсэн. 

Шыкевич хэлэхдээ, банкууд кибер гэмт хэрэгтнүүдийн ашигладаг аргыг илрүүлж, хааж чадах илүү сайн аюулын тагнуулын ажилд хөрөнгө оруулах ёстой. Түүний өгсөн жишээ бол хэрэглэгчийн цахим хуудасны "хурууны хээ"-тэй харьцуулах явдал бөгөөд энэ нь тухайн хэрэглэгчийн бүртгэл ашигладаг хөтөч, дэлгэцийн нягтрал, гарны хэл зэрэг өгөгдөл дээр суурилдаг.

Чейс, холбооны агентлагууд болон кибер аюулгүй байдлын мэргэжилтнүүд бүгд санал нэгтэй байсан нэг зүйл байсан: хэрэв харилцагч банкнаас нь утасдаж, тэр хүн мэдээлэл авахыг хүсч эхэлбэл утсаа таслаад өөрөө банк руу залгана.

"Хэрэв хэрэглэгч өөрийн банкнаас ирсэн гэх хэн нэгнээс дуудлага, мессеж, цахим шуудангаар асуудлаа анхааруулсан тохиолдолд утсаа таслах хэрэгтэй (эсвэл текст/и-мэйл устгаад холбоос дээр дарж болохгүй) Мөн өөрсдийнхөө жинхэнэ гэдгийг мэддэг утасны дугаараараа банк руугаа залгаад үзээрэй" гэж FTC-ийн төлөөлөгч хэлэв.

Цахим гэмт хэрэгтнүүд дуудлага хийгчийн ID-г хууран мэхлэх чадвартай бөгөөд хулгайлагдсан хувийн мэдээллээ ашиглан хохирогчийг хууран мэхэлж мөнгө шилжүүлэх боломжтой.

Зөвлөмжийг имэйлээр илгээнэ үү [имэйлээр хамгаалагдсан]