I kit "Phishing-as-a-service" aumentano i furti: la storia di un imprenditore

Le banche hanno speso enormi somme per la sicurezza informatica e il rilevamento delle frodi, ma cosa succede quando le tattiche criminali sono abbastanza sofisticate da ingannare persino i dipendenti delle banche? 

Per Cody Mullenaux, significava avere più di $ 120,000 trasferiti dal suo conto corrente Chase con poche speranze di recuperare i fondi rubati.

La saga di Mullenaux, un piccolo imprenditore californiano di 40 anni, è iniziata il 19 dicembre. Durante lo shopping natalizio per la sua giovane figlia, ha ricevuto una telefonata da una persona che affermava di essere del dipartimento antifrode di Chase e chiedeva di verificare una transazione sospetta.

Il numero 800 corrispondeva al servizio clienti di Chase, quindi Mullenaux non ha pensato che fosse sospetto quando la persona gli ha chiesto di accedere al suo account tramite un collegamento protetto inviato tramite messaggio di testo a scopo di identificazione. Il collegamento sembrava legittimo e il sito Web che si apriva sembrava identico alla sua app bancaria Chase, quindi ha effettuato l'accesso. 

"Non mi è mai passato per la mente che non stavo parlando con un legittimo rappresentante di Chase", ha detto Mullenaux alla CNBC.

Sono finiti i giorni in cui l'unica cosa di cui un consumatore doveva diffidare era un'e-mail o un collegamento sospetto. Le tattiche dei criminali informatici si sono trasformate in schemi su più fronti, con più criminali che agiscono come una squadra per implementare tattiche sofisticate che coinvolgono software già pronti venduti in kit che mascherano i numeri di telefono e imitano le pagine di accesso della banca di una vittima. È una minaccia pervasiva che secondo gli esperti di sicurezza informatica sta determinando un aumento dell'attività. Prevedono che peggiorerà solo. Sfortunatamente, per le vittime di questi schemi, la banca non è sempre tenuta a rimborsare i fondi rubati.

Dopo aver effettuato l'accesso, Mullenaux ha detto di aver visto grandi quantità di denaro muoversi tra i suoi conti. La persona al telefono gli ha detto che qualcuno era nel suo conto cercando attivamente di rubare i suoi soldi e che l'unico modo per tenerli al sicuro era trasferire i soldi al supervisore della banca, dove sarebbero stati temporaneamente trattenuti mentre loro mettevano al sicuro il suo conto.

Terrorizzato dal fatto che i suoi sudati risparmi stessero per essere rubati, Mullenaux ha detto di essere rimasto al telefono per quasi tre ore, di aver seguito tutte le istruzioni che gli erano state date e di aver risposto alle ulteriori domande di sicurezza che gli erano state poste. 

La CNBC ha esaminato i record del cellulare di Mullenaux, le informazioni sul conto bancario, nonché le immagini del messaggio di testo e il collegamento che gli è stato inviato.

Quello che Mullenaux, che è l'inventore e fondatore di Aquaphant, un'azienda tecnologica che converte l'umidità dell'aria in acqua filtrata, non sapeva che la persona al telefono faceva parte di un sofisticato team di criminali informatici.

Mentre Mullenaux parlava con questo falso rappresentante del dipartimento frodi, un secondo truffatore stava impersonando Mullenaux in un'altra telefonata con Chase per autorizzare i bonifici. Tutte le risposte alle domande di sicurezza poste a Mullenaux sono state poi fornite al secondo truffatore. Ciò ha consentito ai truffatori di fornire le risposte corrette e convincere il dipendente di Chase che stavano parlando con il titolare del conto.

La bufala ha funzionato. Una volta che l'impiegato di Chase si è convinto che fosse stato Mullenaux a chiamare per autorizzare i tre bonifici, oltre 120,000 dollari sono scomparsi dal suo conto bancario e, nonostante i suoi migliori sforzi, nessuno di questi è stato recuperato. 

In una dichiarazione alla CNBC, a caccia Il portavoce ha dichiarato: “Le banche non chiederanno mai ai consumatori o alle imprese di inviare denaro a se stessi o a chiunque altro per prevenire le frodi, ma i truffatori lo faranno. Per confermare che stai davvero parlando con Chase, chiama il numero sul retro della tua carta o visita una filiale.

Mullenaux ha detto di sentirsi frustrato e sconfitto per la sua esperienza nel tentativo di recuperare i suoi fondi rubati.

"Non importa quello che fanno per cercare di salvaguardare i clienti, i truffatori sono sempre un passo avanti", ha detto Mullenaux, aggiungendo che i suoi soldi sarebbero stati più al sicuro in una scatola da scarpe che in una grande banca che i criminali informatici stanno prendendo di mira.

La Federal Trade Commission consiglia a qualsiasi cliente che pensi di aver inviato denaro a truffatori tramite un bonifico bancario di contattare immediatamente la propria banca, segnalare il trasferimento fraudolento e chiedere che venga annullato.

Il tempo è fondamentale quando si tenta di recuperare i fondi inviati tramite bonifico bancario fraudolento, ha dichiarato la FTC alla CNBC. L'agenzia ha affermato che le vittime dovrebbero anche denunciare il crimine all'agenzia e all'Internet Crime Complaint Center dell'FBI, lo stesso giorno o il giorno successivo, se possibile. 

Mullenaux ha detto di essersi reso conto che qualcosa non andava la mattina dopo quando i suoi fondi non erano stati restituiti sul suo conto.

Si è immediatamente recato alla filiale della sua banca Chase locale dove gli è stato detto che probabilmente era stato vittima di una frode. Mullenaux ha affermato che la questione non è stata gestita con alcun senso di urgenza e un tentativo di bonifico bancario inverso, che la FTC suggerisce ai clienti di chiedere, non è stato offerto come opzione.

Invece, Mullenaux ha detto che l'impiegato della filiale gli ha detto che avrebbe ricevuto un pacchetto per posta entro 10 giorni che avrebbe potuto compilare per presentare un reclamo. Mullenaux ha chiesto immediatamente il pacchetto. Lo ha compilato e inviato lo stesso giorno.

Quella richiesta, insieme a una seconda che Mullenaux ha presentato al ramo esecutivo, è stata respinta. I dipendenti che indagano sulla questione hanno detto che Mullenaux aveva chiamato per autorizzare i bonifici.

La CNBC ha fornito a Chase i tabulati del cellulare di Mullenaux che mostravano che non aveva mai fatto telefonate in uscita a Chase il giorno in questione. I registri suggeriscono anche, se confrontati con i registri dei bonifici, che non poteva essere stato Mullenaux a chiamare Chase per autorizzare i bonifici perché tutti e tre erano autorizzati e sono passati mentre Mullenaux era ancora al telefono con i truffatori.

Tuttavia, ciò non ha cambiato la decisione della banca e, ancora una volta, la richiesta di Mullenaux è stata respinta poiché aveva condiviso le sue informazioni private con i criminali.

Indipendentemente dal fatto che i truffatori si rendessero conto che lo stavano facendo o meno, hanno sfruttato con successo due scappatoie nell'attuale legislazione sulla protezione dei consumatori che hanno portato Chase a non dover sostituire i fondi rubati di Mullenaux. Legalmente, le banche non sono tenute a rimborsare i fondi rubati quando un cliente viene indotto con l'inganno a inviare denaro a un criminale informatico.

Tuttavia, ai sensi dell'Electronic Fund Transfer Act, che copre la maggior parte dei tipi di transazioni elettroniche come i pagamenti peer-to-peer e i pagamenti o i trasferimenti online, le banche sono tenute a rimborsare i clienti quando i fondi vengono rubati senza che il cliente lo autorizzi. Sfortunatamente, i bonifici, che comportano il trasferimento di denaro da una banca all'altra, non sono coperti dalla legge, che esclude anche le frodi che coinvolgono assegni cartacei e carte prepagate.

I criminali informatici hanno anche trasferito fondi dai conti correnti e di risparmio personali di Mullenaux al suo conto aziendale prima di avviare i bonifici. Il regolamento E, progettato per aiutare i consumatori a recuperare i propri soldi da una transazione non autorizzata, protegge solo gli individui, non i conti aziendali.

Un rappresentante di Chase ha affermato che l'indagine è in corso mentre la banca cerca di recuperare i fondi rubati.

Questo è qualcosa per cui Mullenaux dice di pregare. "Prego che questa tragedia sia in qualche modo riconciliata, che la direzione [della banca] veda cosa mi è successo e che i miei soldi vengano restituiti".

Mullenaux ha anche presentato denunce alla polizia locale e all'Internet Crime Complaint Center dell'FBI, ma nessuno dei due lo ha contattato per il suo caso.

Non sono solo i clienti di Chase a essere presi di mira dai criminali informatici con questi schemi sofisticati. La scorsa estate, IronNet ha scoperto una piattaforma di "phishing come servizio". che vende kit di phishing già pronti ai criminali informatici che prendono di mira le società con sede negli Stati Uniti, comprese le banche. I kit personalizzabili possono costare fino a $ 50 al mese e includono codice, grafica e file di configurazione per assomigliare alle pagine di accesso della banca.

Joey Fitzpatrick, un responsabile dell'analisi delle minacce presso IronNet, ha affermato che, sebbene non possa dire con certezza che questo sia il modo in cui Mullenaux è stato truffato, "l'attacco contro di lui porta tutte le caratteristiche degli aggressori che sfruttano lo stesso tipo di strumenti multimodali che il phishing - come -a-servizi forniti dalle piattaforme.”

Si aspetta che le offerte di tipo "as-a-service" continueranno a guadagnare terreno poiché i kit non solo abbassano la barra per i criminali informatici di livello medio-basso per creare campagne di phishing, ma consentono anche ai criminali di livello superiore di concentrarsi su una singola area e sviluppare tattiche e malware più sofisticati.

"Abbiamo registrato un aumento del 10% nell'implementazione di kit di phishing solo nel gennaio 2023", ha affermato Fitzpatrick.

Nel 2022, l'azienda ha registrato un aumento del 45% degli avvisi e dei rilevamenti di phishing.

Ma non sono solo gli schemi di phishing in aumento, sono tutti gli attacchi informatici. I dati di Check Point hanno mostrato che nel 2022 c'è stato un aumento del 52% degli attacchi informatici settimanali al settore finanziario/bancario rispetto agli attacchi del 2021.

"La sofisticatezza degli attacchi informatici e degli schemi di frode è aumentata in modo significativo durante l'ultimo anno", ha affermato Sergey Shykevich, responsabile del gruppo di minacce di Check Point. "Ora, in molti casi i criminali informatici non si affidano solo all'invio di e-mail di phishing/dannose e all'attesa che le persone facciano clic su di esse, ma le combinano con chiamate telefoniche, attacchi MFA [autenticazione a più fattori] e altro ancora."

Entrambi gli esperti di sicurezza informatica hanno affermato che le banche possono fare di più per educare i clienti. 

Shykevich ha affermato che le banche dovrebbero investire in una migliore intelligence sulle minacce in grado di rilevare e bloccare i metodi utilizzati dai criminali informatici. Un esempio che ha fornito è il confronto di un accesso con l'"impronta digitale" digitale di una persona, che si basa su dati come il browser utilizzato da un account, la risoluzione dello schermo o la lingua della tastiera.

C'era una cosa su cui Chase, le agenzie federali e gli esperti di sicurezza informatica erano tutti d'accordo: se un cliente riceve una telefonata dalla propria banca e la persona inizia a chiedere informazioni, riaggancia e richiama tu stesso la banca.

"Se un consumatore riceve una chiamata, un messaggio di testo o un'e-mail di punto in bianco da qualcuno che afferma di provenire dalla propria banca, avvisandolo di un problema, il consumatore dovrebbe riagganciare (o eliminare il messaggio di testo/e-mail e non fare clic sui collegamenti) e prova a chiamare la loro banca su un numero di telefono che sanno essere reale ", ha detto un portavoce della FTC.

I criminali informatici hanno la capacità di falsificare l'ID chiamante e possono utilizzare informazioni personali rubate per indurre una vittima a consegnare denaro.

Si prega di e-mail suggerimenti a [email protected]