“网络钓鱼即服务”工具包导致盗窃事件增加：一位企业主的故事

银行在网络安全和欺诈检测方面投入了大量资金，但当犯罪手段复杂到足以骗过银行员工时会发生什么？ 

对于 Cody Mullenaux 来说，这意味着从他的大通支票账户中汇出超过 120,000 美元，而且几乎没有希望收回他被盗的资金。

来自加利福尼亚州的 40 岁小企业主 Mullenaux 的传奇故事始于 19 月 XNUMX 日。在为他年幼的女儿购买圣诞礼物时，他接到一个自称来自大通欺诈部门的人的电话，并要求核实可疑交易

800 号码与大通客户服务相匹配，因此当此人要求他通过短信发送的安全链接登录帐户以进行身份​​验证时，Mullenaux 认为这并不可疑。 该链接看起来是合法的，打开的网站似乎与他的大通银行应用程序相同，因此他登录了。 

“我从来没有想过我不是在与合法的大通代表交谈，”Mullenaux 告诉 CNBC。

消费者唯一需要警惕的是可疑电子邮件或链接的日子已经一去不复返了。 网络犯罪分子的策略已演变为多管齐下的计划，多个犯罪分子组成一个团队来部署复杂的策略，涉及以套件形式出售的现成软件，这些软件会掩盖电话号码并模仿受害者银行的登录页面。 网络安全专家表示，这是一种普遍存在的威胁，正在推动活动的增加。 他们预测情况只会变得更糟。 不幸的是，对于这些计划的受害者，银行并不总是需要偿还被盗资金。

登录后，Mullenaux 说他看到大量资金在他的账户之间流动。 电话中的人告诉他，有人在他的账户中积极地试图窃取他的钱，唯一保证资金安全的方法是将钱电汇给银行监管机构，在他们保护他的账户期间，这些钱将暂时存放在那里。

由于害怕自己辛苦赚来的积蓄即将被盗，Mullenaux 说他在电话里待了将近三个小时，按照他得到的所有指示进行操作，并回答了他提出的其他安全问题。 

CNBC 审查了 Mullenaux 的手机记录、银行账户信息以及发送给他的短信和链接的图像。

Mullenaux 是 Aquaphant 的发明者和创始人，Aquaphant 是一家将空气中的水分转化为过滤水的技术公司，他不知道打电话的人是一个复杂的网络犯罪团队的成员。

当 Mullenaux 与这位假冒的欺诈部门代表交谈时，第二个骗子冒充 Mullenaux 在与大通的另一通电话中授权电汇。 Mullenaux 被问到的所有安全问题的答案都被提供给了第二个骗子。 这使得欺诈者能够提供正确的答案并说服大通银行员工他们正在与账户持有人交谈。

骗局奏效了。 一旦大通员工确信是 Mullenaux 来电授权了这三笔电汇，超过 120,000 美元就从他的银行账户中消失了，尽管他尽了最大努力，但仍未收回。 

在给 CNBC 的一份声明中， 追 发言人说，“银行绝不会要求消费者或企业向自己或任何其他人汇款以防止欺诈，但诈骗者会这样做。 要确认您确实在与大通银行通话，请拨打您卡背面的电话号码或前往一家分行。”

Mullenaux 说，他对试图追回被盗资金的经历感到沮丧和失败。

Mullenaux 说：“无论他们采取什么措施来保护客户，骗子总是领先一步。”他补充说，他的钱放在鞋盒里比放在网络犯罪分子瞄准的大银行里更安全。

联邦贸易委员会建议，任何认为他们可能通过电汇向诈骗者汇款的客户应立即联系他们的银行，报告欺诈性转账并要求撤销。

FTC 告诉 CNBC，在试图收回通过欺诈性电汇发送的资金时，时间至关重要。 该机构表示，如果可能的话，受害者还应在同一天或第二天向该机构以及 FBI 的互联网犯罪投诉中心报告犯罪行为。 

Mullenaux 说，第二天早上，当他的资金没有退回他的账户时，他意识到出了点问题。

他立即开车前往当地的大通银行分行，在那里他被告知他可能是欺诈的受害者。 Mullenaux 表示，这件事没有任何紧迫感，并且没有提供 FTC 建议客户要求的反向电汇尝试作为一种选择。

相反，Mullenaux 说，分行员工告诉他，他会在 10 天内收到邮寄的包裹，他可以填写包裹来提出索赔。 Mullenaux 立即要了包裹。 他填写并在同一天提交。

该声明以及 Mullenaux 向行政部门提交的第二份声明均被拒绝。 调查此事的员工表示，Mullenaux 曾致电授权电汇。

CNBC 向蔡斯提供了 Mullenaux 的手机记录，显示他在当天从未打过任何电话给蔡斯。 记录还表明，与电汇记录相比，Mullenaux 不可能打电话给大通银行授权电汇，因为当 Mullenaux 仍在与诈骗者通电话时，这三人都已获得授权并通过了。

然而，这并没有改变银行的决定，而且 Mullenaux 的索赔再次被拒绝，因为他与罪犯分享了他的私人信息。

无论诈骗者是否意识到他们在这样做，他们都成功地利用了当前消费者保护立法中的两个漏洞，导致大通银行无需更换 Mullenaux 被盗的资金。 从法律上讲，当客户被诱骗向网络犯罪分子汇款时，银行不必偿还被盗资金。

然而，根据涵盖点对点支付和在线支付或转账等大多数电子交易类型的《电子资金转账法》，如果资金在未经客户授权的情况下被盗，银行必须偿还客户。 不幸的是，涉及将资金从一家银行转移到另一家银行的电汇不在该法案的涵盖范围之内，该法案也不包括涉及纸质支票和预付卡的欺诈行为。

在启动电汇之前，网络犯罪分子还将资金从 Mullenaux 的个人支票和储蓄账户转移到他的企业账户。 E 条例旨在帮助消费者从未经授权的交易中取回款项，它只保护个人，不保护企业账户。

大通的一位代表表示，调查正在进行中，因为该银行试图追回被盗资金。

Mullenaux 说他正在为此祈祷。 “我祈祷这场悲剧能以某种方式得到和解，希望 [银行] 管理层看到发生在我身上的事情，并退还我的钱。”

Mullenaux 还向当地警方和 FBI 的互联网犯罪投诉中心提交了报告，但都没有就他的案件与他联系。

通过这些复杂的计划，不仅仅是大通客户成为网络犯罪分子的目标。 去年夏天，IronNet 被发现 一个“网络钓鱼即服务”平台 向以美国公司（包括银行）为目标的网络犯罪分子出售现成的网络钓鱼工具包。 可定制的工具包每月只需花费 50 美元，包括类似于银行登录页面的代码、图形和配置文件。

IronNet 的威胁分析经理 Joey Fitzpatrick 表示，虽然他不能肯定地说 Mullenaux 就是这样被骗的，“针对他的攻击具有攻击者利用与网络钓鱼相同的多模式工具的所有特征-服务平台提供。”

他预计“即服务”类型的产品只会继续受到关注，因为这些工具包不仅降低了中低级别网络犯罪分子发起网络钓鱼活动的门槛，而且还使更高级别的犯罪分子能够专注于在单一区域开发更复杂的策略和恶意软件。

“仅在 10 年 2023 月，我们就看到网络钓鱼工具包的部署增加了 XNUMX%，”菲茨帕特里克说。

2022 年，该公司发现网络钓鱼警报和检测增加了 45%。

但这不仅仅是网络钓鱼计划在增加，而且都是网络攻击。 Check Point 的数据显示，与 2022 年相比，52 年每周针对金融/银行业的网络攻击增加了 2021%。

Check Point 威胁小组经理 Sergey Shykevich 表示：“网络攻击和欺诈计划的复杂性在去年显着增加。” “现在，在许多情况下，网络犯罪分子不仅仅依赖于发送网络钓鱼/恶意电子邮件并等待人们点击它，而是将其与电话、MFA [多因素身份验证] 疲劳攻击等结合起来。”

两位网络安全专家都表示，银行可以采取更多措施来教育客户。 

Shykevich 表示，银行应该投资于更好的威胁情报，以检测和阻止网络犯罪分子使用的方法。 他举的一个例子是将登录与一个人的数字“指纹”进行比较，“指纹”基于帐户使用的浏览器、屏幕分辨率或键盘语言等数据。

大通银行、联邦机构和网络安全专家都同意一件事：如果客户接到银行打来的电话并且此人开始询问信息，请挂断电话并自己给银行回电。

“如果消费者突然接到任何声称来自其银行的人的电话、短信或电子邮件，提醒他们有问题，消费者应该挂断电话（或删除短信/电子邮件，不要点击链接）并尝试用他们知道是真实的电话号码给他们的银行打电话，”联邦贸易委员会发言人说。

网络罪犯有能力伪造来电显示，他们可能会使用窃取的个人信息来诱骗受害者交出钱财。

请通过电子邮件将提示发送给 [电子邮件保护]