Cody Mullenaux 和他的家人。 Mullenaux 是一项复杂的电汇欺诈计划的受害者,该计划已导致 120,000 美元被盗
礼貌:Cody Mullenaux
银行在网络安全和欺诈检测方面投入了大量资金,但当犯罪手段复杂到足以骗过银行员工时会发生什么?
对于 Cody Mullenaux 来说,这意味着从他的大通支票账户中汇出超过 120,000 美元,而且几乎没有希望收回他被盗的资金。
来自加利福尼亚州的 40 岁小企业主 Mullenaux 的传奇故事始于 19 月 XNUMX 日。在为他年幼的女儿购买圣诞礼物时,他接到一个自称来自大通欺诈部门的人的电话,并要求核实可疑交易
800 号码与大通客户服务相匹配,因此当此人要求他通过短信发送的安全链接登录帐户以进行身份验证时,Mullenaux 认为这并不可疑。 该链接看起来是合法的,打开的网站似乎与他的大通银行应用程序相同,因此他登录了。
“我从来没有想过我不是在与合法的大通代表交谈,”Mullenaux 告诉 CNBC。
消费者唯一需要警惕的是可疑电子邮件或链接的日子已经一去不复返了。 网络犯罪分子的策略已演变为多管齐下的计划,多个犯罪分子组成一个团队来部署复杂的策略,涉及以套件形式出售的现成软件,这些软件会掩盖电话号码并模仿受害者银行的登录页面。 网络安全专家表示,这是一种普遍存在的威胁,正在推动活动的增加。 他们预测情况只会变得更糟。 不幸的是,对于这些计划的受害者,银行并不总是需要偿还被盗资金。
登录后,Mullenaux 说他看到大量资金在他的账户之间流动。 电话中的人告诉他,有人在他的账户中积极地试图窃取他的钱,唯一保证资金安全的方法是将钱电汇给银行监管机构,在他们保护他的账户期间,这些钱将暂时存放在那里。
由于害怕自己辛苦赚来的积蓄即将被盗,Mullenaux 说他在电话里待了将近三个小时,按照他得到的所有指示进行操作,并回答了他提出的其他安全问题。
CNBC 审查了 Mullenaux 的手机记录、银行账户信息以及发送给他的短信和链接的图像。
一群骗子
Mullenaux 是 Aquaphant 的发明者和创始人,Aquaphant 是一家将空气中的水分转化为过滤水的技术公司,他不知道打电话的人是一个复杂的网络犯罪团队的成员。
骗局奏效了。 一旦大通员工确信是 Mullenaux 来电授权了这三笔电汇,超过 120,000 美元就从他的银行账户中消失了,尽管他尽了最大努力,但仍未收回。
在给 CNBC 的一份声明中, 追 发言人说,“银行绝不会要求消费者或企业向自己或任何其他人汇款以防止欺诈,但诈骗者会这样做。 要确认您确实在与大通银行通话,请拨打您卡背面的电话号码或前往一家分行。”
Aquaphant 的发明者和创始人 Cody Mullenaux 及其团队和家人,Aquaphant 是一家将空气中的水分转化为过滤水的技术公司。
礼貌:Cody Mullenaux
电汇诈骗受害者几乎没有追索权
Mullenaux 说,他对试图追回被盗资金的经历感到沮丧和失败。
Mullenaux 说:“无论他们采取什么措施来保护客户,骗子总是领先一步。”他补充说,他的钱放在鞋盒里比放在网络犯罪分子瞄准的大银行里更安全。
联邦贸易委员会建议,任何认为他们可能通过电汇向诈骗者汇款的客户应立即联系他们的银行,报告欺诈性转账并要求撤销。
FTC 告诉 CNBC,在试图收回通过欺诈性电汇发送的资金时,时间至关重要。 该机构表示,如果可能的话,受害者还应在同一天或第二天向该机构以及 FBI 的互联网犯罪投诉中心报告犯罪行为。
Mullenaux 说,第二天早上,当他的资金没有退回他的账户时,他意识到出了点问题。
他立即开车前往当地的大通银行分行,在那里他被告知他可能是欺诈的受害者。 Mullenaux 表示,这件事没有任何紧迫感,并且没有提供 FTC 建议客户要求的反向电汇尝试作为一种选择。
相反,Mullenaux 说,分行员工告诉他,他会在 10 天内收到邮寄的包裹,他可以填写包裹来提出索赔。 Mullenaux 立即要了包裹。 他填写并在同一天提交。
该声明以及 Mullenaux 向行政部门提交的第二份声明均被拒绝。 调查此事的员工表示,Mullenaux 曾致电授权电汇。
骗子利用监管漏洞
在启动电汇之前,网络犯罪分子还将资金从 Mullenaux 的个人支票和储蓄账户转移到他的企业账户。 E 条例旨在帮助消费者从未经授权的交易中取回款项,它只保护个人,不保护企业账户。
大通的一位代表表示,调查正在进行中,因为该银行试图追回被盗资金。
Mullenaux 说他正在为此祈祷。 “我祈祷这场悲剧能以某种方式得到和解,希望 [银行] 管理层看到发生在我身上的事情,并退还我的钱。”
复杂的诈骗手段呈上升趋势
通过这些复杂的计划,不仅仅是大通客户成为网络犯罪分子的目标。 去年夏天,IronNet 被发现 一个“网络钓鱼即服务”平台 向以美国公司(包括银行)为目标的网络犯罪分子出售现成的网络钓鱼工具包。 可定制的工具包每月只需花费 50 美元,包括类似于银行登录页面的代码、图形和配置文件。
IronNet 的威胁分析经理 Joey Fitzpatrick 表示,虽然他不能肯定地说 Mullenaux 就是这样被骗的,“针对他的攻击具有攻击者利用与网络钓鱼相同的多模式工具的所有特征-服务平台提供。”
他预计“即服务”类型的产品只会继续受到关注,因为这些工具包不仅降低了中低级别网络犯罪分子发起网络钓鱼活动的门槛,而且还使更高级别的犯罪分子能够专注于在单一区域开发更复杂的策略和恶意软件。
“仅在 10 年 2023 月,我们就看到网络钓鱼工具包的部署增加了 XNUMX%,”菲茨帕特里克说。
2022 年,该公司发现网络钓鱼警报和检测增加了 45%。
但这不仅仅是网络钓鱼计划在增加,而且都是网络攻击。 Check Point 的数据显示,与 2022 年相比,52 年每周针对金融/银行业的网络攻击增加了 2021%。
Check Point 威胁小组经理 Sergey Shykevich 表示:“网络攻击和欺诈计划的复杂性在去年显着增加。” “现在,在许多情况下,网络犯罪分子不仅仅依赖于发送网络钓鱼/恶意电子邮件并等待人们点击它,而是将其与电话、MFA [多因素身份验证] 疲劳攻击等结合起来。”
两位网络安全专家都表示,银行可以采取更多措施来教育客户。
Shykevich 表示,银行应该投资于更好的威胁情报,以检测和阻止网络犯罪分子使用的方法。 他举的一个例子是将登录与一个人的数字“指纹”进行比较,“指纹”基于帐户使用的浏览器、屏幕分辨率或键盘语言等数据。
最佳建议:挂断电话
来源:https://www.cnbc.com/2023/02/06/phishing-as-a-service-kits-drive-uptick-in-theft-one-business-owners-story.html