Cody Mullenaux e la sua famiglia. Mullenaux è stato vittima di un sofisticato schema di frode telematica che ha portato al furto di $ 120,000
Per gentile concessione: Cody Mullenaux
Le banche hanno speso enormi somme per la sicurezza informatica e il rilevamento delle frodi, ma cosa succede quando le tattiche criminali sono abbastanza sofisticate da ingannare persino i dipendenti delle banche?
Per Cody Mullenaux, significava avere più di $ 120,000 trasferiti dal suo conto corrente Chase con poche speranze di recuperare i fondi rubati.
La saga di Mullenaux, un piccolo imprenditore californiano di 40 anni, è iniziata il 19 dicembre. Durante lo shopping natalizio per la sua giovane figlia, ha ricevuto una telefonata da una persona che affermava di essere del dipartimento antifrode di Chase e chiedeva di verificare una transazione sospetta.
Il numero 800 corrispondeva al servizio clienti di Chase, quindi Mullenaux non ha pensato che fosse sospetto quando la persona gli ha chiesto di accedere al suo account tramite un collegamento protetto inviato tramite messaggio di testo a scopo di identificazione. Il collegamento sembrava legittimo e il sito Web che si apriva sembrava identico alla sua app bancaria Chase, quindi ha effettuato l'accesso.
"Non mi è mai passato per la mente che non stavo parlando con un legittimo rappresentante di Chase", ha detto Mullenaux alla CNBC.
Sono finiti i giorni in cui l'unica cosa di cui un consumatore doveva diffidare era un'e-mail o un collegamento sospetto. Le tattiche dei criminali informatici si sono trasformate in schemi su più fronti, con più criminali che agiscono come una squadra per implementare tattiche sofisticate che coinvolgono software già pronti venduti in kit che mascherano i numeri di telefono e imitano le pagine di accesso della banca di una vittima. È una minaccia pervasiva che secondo gli esperti di sicurezza informatica sta determinando un aumento dell'attività. Prevedono che peggiorerà solo. Sfortunatamente, per le vittime di questi schemi, la banca non è sempre tenuta a rimborsare i fondi rubati.
Dopo aver effettuato l'accesso, Mullenaux ha detto di aver visto grandi quantità di denaro muoversi tra i suoi conti. La persona al telefono gli ha detto che qualcuno era nel suo conto cercando attivamente di rubare i suoi soldi e che l'unico modo per tenerli al sicuro era trasferire i soldi al supervisore della banca, dove sarebbero stati temporaneamente trattenuti mentre loro mettevano al sicuro il suo conto.
Terrorizzato dal fatto che i suoi sudati risparmi stessero per essere rubati, Mullenaux ha detto di essere rimasto al telefono per quasi tre ore, di aver seguito tutte le istruzioni che gli erano state date e di aver risposto alle ulteriori domande di sicurezza che gli erano state poste.
La CNBC ha esaminato i record del cellulare di Mullenaux, le informazioni sul conto bancario, nonché le immagini del messaggio di testo e il collegamento che gli è stato inviato.
Una squadra di truffatori
In una dichiarazione alla CNBC, a caccia Il portavoce ha dichiarato: “Le banche non chiederanno mai ai consumatori o alle imprese di inviare denaro a se stessi o a chiunque altro per prevenire le frodi, ma i truffatori lo faranno. Per confermare che stai davvero parlando con Chase, chiama il numero sul retro della tua carta o visita una filiale.
Cody Mullenaux, inventore e fondatore di Aquaphant, un'azienda tecnologica che converte l'umidità dell'aria in acqua filtrata, con il suo team e la sua famiglia.
Per gentile concessione: Cody Mullenaux
Poco ricorso per le vittime di truffe via cavo
I truffatori hanno sfruttato le scappatoie normative
Sofisticate tattiche di truffa in aumento
Non sono solo i clienti di Chase a essere presi di mira dai criminali informatici con questi schemi sofisticati. La scorsa estate, IronNet ha scoperto una piattaforma di "phishing come servizio". che vende kit di phishing già pronti ai criminali informatici che prendono di mira le società con sede negli Stati Uniti, comprese le banche. I kit personalizzabili possono costare fino a $ 50 al mese e includono codice, grafica e file di configurazione per assomigliare alle pagine di accesso della banca.
Joey Fitzpatrick, un responsabile dell'analisi delle minacce presso IronNet, ha affermato che, sebbene non possa dire con certezza che questo sia il modo in cui Mullenaux è stato truffato, "l'attacco contro di lui porta tutte le caratteristiche degli aggressori che sfruttano lo stesso tipo di strumenti multimodali che il phishing - come -a-servizi forniti dalle piattaforme.”
Si aspetta che le offerte di tipo "as-a-service" continueranno a guadagnare terreno poiché i kit non solo abbassano la barra per i criminali informatici di livello medio-basso per creare campagne di phishing, ma consentono anche ai criminali di livello superiore di concentrarsi su una singola area e sviluppare tattiche e malware più sofisticati.
"Abbiamo registrato un aumento del 10% nell'implementazione di kit di phishing solo nel gennaio 2023", ha affermato Fitzpatrick.
Nel 2022, l'azienda ha registrato un aumento del 45% degli avvisi e dei rilevamenti di phishing.
Ma non sono solo gli schemi di phishing in aumento, sono tutti gli attacchi informatici. I dati di Check Point hanno mostrato che nel 2022 c'è stato un aumento del 52% degli attacchi informatici settimanali al settore finanziario/bancario rispetto agli attacchi del 2021.
"La sofisticatezza degli attacchi informatici e degli schemi di frode è aumentata in modo significativo durante l'ultimo anno", ha affermato Sergey Shykevich, responsabile del gruppo di minacce di Check Point. "Ora, in molti casi i criminali informatici non si affidano solo all'invio di e-mail di phishing/dannose e all'attesa che le persone facciano clic su di esse, ma le combinano con chiamate telefoniche, attacchi MFA [autenticazione a più fattori] e altro ancora."
Entrambi gli esperti di sicurezza informatica hanno affermato che le banche possono fare di più per educare i clienti.
Shykevich ha affermato che le banche dovrebbero investire in una migliore intelligence sulle minacce in grado di rilevare e bloccare i metodi utilizzati dai criminali informatici. Un esempio che ha fornito è il confronto di un accesso con l'"impronta digitale" digitale di una persona, che si basa su dati come il browser utilizzato da un account, la risoluzione dello schermo o la lingua della tastiera.
Il miglior consiglio: riattacca il telefono
Fonte: https://www.cnbc.com/2023/02/06/phishing-as-a-service-kits-drive-uptick-in-theft-one-business-owners-story.html