'Phishing-as-a-service'-kits stimuleren diefstal: het verhaal van een bedrijfseigenaar

Banken hebben enorme bedragen uitgegeven aan cyberbeveiliging en fraudeopsporing, maar wat gebeurt er als criminele tactieken geavanceerd genoeg zijn om zelfs bankmedewerkers voor de gek te houden? 

Voor Cody Mullenaux betekende het dat er meer dan $ 120,000 van zijn Chase-betaalrekening was overgemaakt met weinig hoop dat hij zijn gestolen geld ooit zou terugkrijgen.

De sage voor Mullenaux, een 40-jarige eigenaar van een klein bedrijf uit Californië, begon op 19 december. een verdachte transactie.

Het 800-nummer kwam overeen met de klantenservice van Chase, dus Mullenaux vond het niet verdacht toen de persoon hem vroeg om in te loggen op zijn account via een beveiligde link die per sms was verzonden voor identificatiedoeleinden. De link zag er legitiem uit en de website die werd geopend leek identiek aan zijn Chase-bankieren-app, dus logde hij in. 

"Het kwam niet eens bij me op dat ik niet met een legitieme vertegenwoordiger van Chase sprak", vertelde Mullenaux aan CNBC.

Voorbij zijn de dagen dat het enige waar een consument op moest letten een verdachte e-mail of link was. De tactieken van cybercriminelen zijn veranderd in meervoudige plannen, waarbij meerdere criminelen optreden als een team om geavanceerde tactieken toe te passen met kant-en-klare software die wordt verkocht in kits die telefoonnummers maskeren en inlogpagina's van de bank van een slachtoffer nabootsen. Het is een alomtegenwoordige dreiging die volgens cyberbeveiligingsexperts een toename van de activiteit veroorzaakt. Ze voorspellen dat het alleen maar erger zal worden. Helaas is de bank voor slachtoffers van deze regelingen niet altijd verplicht om het gestolen geld terug te betalen.

Nadat hij was ingelogd, zei Mullenaux dat hij grote hoeveelheden geld tussen zijn rekeningen zag bewegen. De persoon aan de telefoon vertelde hem dat er iemand op zijn rekening stond die actief probeerde zijn geld te stelen en dat de enige manier om het veilig te houden was door geld over te maken naar de banktoezichthouder, waar het tijdelijk zou worden vastgehouden terwijl zij zijn rekening beveiligden.

Doodsbang dat zijn zuurverdiende spaargeld op het punt stond te worden gestolen, zei Mullenaux dat hij bijna drie uur aan de telefoon bleef, alle instructies opvolgde en aanvullende beveiligingsvragen beantwoordde. 

CNBC heeft de mobiele gegevens van Mullenaux, de bankrekeninggegevens en afbeeldingen van het sms-bericht en de link die hij heeft ontvangen, bekeken.

Wat Mullenaux, de uitvinder en oprichter van Aquaphant, een technologiebedrijf dat vocht uit de lucht omzet in gefilterd water, niet wist, was dat de persoon aan de telefoon deel uitmaakte van een geavanceerd cybercrimineel team.

Terwijl Mullenaux sprak met deze valse vertegenwoordiger van de fraudeafdeling, deed een tweede oplichter zich voor als Mullenaux tijdens een ander telefoongesprek met Chase om de overboekingen te autoriseren. Alle antwoorden op de beveiligingsvragen die aan Mullenaux werden gesteld, werden vervolgens aan de tweede oplichter doorgegeven. Hierdoor konden de fraudeurs de juiste antwoorden geven en de Chase-medewerker ervan overtuigen dat ze met de rekeninghouder spraken.

De hoax werkte. Toen de Chase-medewerker er eenmaal van overtuigd was dat het Mullenaux was die belde om de drie overschrijvingen goed te keuren, verdween meer dan $ 120,000 van zijn bankrekening en ondanks zijn inspanningen is er niets van teruggevorderd. 

In een verklaring aan CNBC, a achtervolgen woordvoerder zei: “Banken zullen consumenten of bedrijven nooit vragen om geld naar zichzelf of iemand anders te sturen om fraude te voorkomen, maar oplichters wel. Om te bevestigen dat u echt met Chase spreekt, belt u het nummer op de achterkant van uw kaart of bezoekt u een filiaal.

Mullenaux zei dat hij zich gefrustreerd en verslagen voelt over zijn ervaring met het terugkrijgen van zijn gestolen geld.

"Wat ze ook doen om klanten te beschermen, oplichters zijn altijd een stap voor", zei Mullenaux, eraan toevoegend dat zijn geld veiliger zou zijn geweest in een schoenendoos dan in een grote bank waar cybercriminelen het op hebben gemunt.

De Federal Trade Commission adviseert dat elke klant die denkt dat hij mogelijk geld naar oplichters heeft gestuurd via een overboeking, onmiddellijk contact moet opnemen met zijn bank, de frauduleuze overboeking moet melden en moet vragen om terugboeking.

Tijd is van cruciaal belang bij het terugvorderen van geld dat via frauduleuze overboeking is verzonden, vertelde de FTC aan CNBC. Het bureau zei dat slachtoffers het misdrijf ook moeten melden bij het bureau en bij het Internet Crime Complaint Center van de FBI, indien mogelijk dezelfde dag of de volgende dag. 

Mullenaux zei dat hij zich de volgende ochtend realiseerde dat er iets mis was toen zijn geld niet op zijn rekening was teruggestort.

Hij reed onmiddellijk naar zijn plaatselijke Chase-bankfiliaal waar hem werd verteld dat hij waarschijnlijk het slachtoffer was van fraude. Mullenaux zei dat de zaak niet met enig gevoel van urgentie werd behandeld en dat een poging tot omgekeerde overboeking, waar de FTC volgens klanten om vraagt, niet als optie werd aangeboden.

In plaats daarvan zei Mullenaux dat de filiaalmedewerker hem vertelde dat hij binnen 10 dagen een pakket per post zou ontvangen dat hij kon invullen om een ​​claim in te dienen. Mullenaux vroeg onmiddellijk om het pakje. Hij heeft het ingevuld en dezelfde dag nog ingeleverd.

Die claim, samen met een tweede die Mullenaux indiende bij de uitvoerende macht, werd afgewezen. De werknemers die de zaak onderzochten, zeiden dat Mullenaux had gebeld om de overschrijvingen goed te keuren.

CNBC voorzag Chase van de mobiele telefoongegevens van Mullenaux waaruit bleek dat hij op de betreffende dag nooit uitgaande telefoontjes naar Chase had gepleegd. De gegevens suggereren ook, in vergelijking met de overboekingen, dat het niet Mullenaux kan zijn geweest die Chase belde om de overboekingen goed te keuren, omdat ze alle drie geautoriseerd waren en doorgingen terwijl Mullenaux nog aan de telefoon was met de oplichters.

Dat veranderde echter niets aan de beslissing van de bank en opnieuw werd de claim van Mullenaux afgewezen omdat hij zijn privégegevens met de criminelen had gedeeld.

Of de oplichters zich nu realiseerden dat ze het deden of niet, ze maakten met succes gebruik van twee mazen in de huidige wetgeving inzake consumentenbescherming die ertoe leidden dat Chase niet verplicht was om Mullenaux' gestolen geld te vervangen. Wettelijk hoeven banken gestolen geld niet terug te betalen wanneer een klant wordt misleid om geld naar een cybercrimineel te sturen.

Volgens de Electronic Fund Transfer Act, die van toepassing is op de meeste soorten elektronische transacties, zoals peer-to-peer-betalingen en online betalingen of overboekingen, zijn banken echter verplicht om klanten terug te betalen wanneer geld wordt gestolen zonder dat de klant hiervoor toestemming heeft gegeven. Helaas vallen overboekingen, waarbij geld van de ene bank naar de andere wordt overgemaakt, niet onder de wet, wat ook fraude met papieren cheques en prepaidkaarten uitsluit.

De cybercriminelen maakten ook geld over van de persoonlijke betaal- en spaarrekeningen van Mullenaux naar zijn zakelijke rekening voordat ze de overboekingen begonnen. Verordening E, die is ontworpen om consumenten te helpen hun geld terug te krijgen van een ongeautoriseerde transactie, beschermt alleen individuen, geen zakelijke rekeningen.

Een vertegenwoordiger van Chase zei dat het onderzoek gaande is terwijl de bank probeert het gestolen geld terug te krijgen.

Dat is iets waarvoor Mullenaux zegt te bidden. "Ik bid dat deze tragedie op de een of andere manier wordt verzoend, dat het [bank]management ziet wat er met mij is gebeurd en dat mijn geld wordt teruggegeven."

Mullenaux heeft ook aangifte gedaan bij de lokale politie en het Internet Crime Complaint Center van de FBI, maar geen van beiden heeft contact met hem opgenomen over zijn zaak.

Het zijn niet alleen Chase-klanten die het doelwit zijn van cybercriminelen met deze geavanceerde plannen. Afgelopen zomer ontdekte IronNet een "phishing-as-a-service"-platform dat kant-en-klare phishingkits verkoopt aan cybercriminelen die zich richten op Amerikaanse bedrijven, waaronder banken. De aanpasbare kits kosten slechts $ 50 per maand en bevatten code, afbeeldingen en configuratiebestanden die lijken op inlogpagina's van banken.

Joey Fitzpatrick, manager dreigingsanalyse bij IronNet, zei dat hoewel hij niet met zekerheid kan zeggen dat Mullenaux op deze manier werd opgelicht, "de aanval op hem alle kenmerken vertoont van aanvallers die gebruik maken van hetzelfde soort multimodale tools die phishing-als -a-service-platforms bieden.”

Hij verwacht dat aanbiedingen van het "as-a-service"-type alleen maar aan populariteit zullen winnen, aangezien de kits niet alleen de lat voor lage tot middelgrote cybercriminelen om phishing-campagnes te creëren, verlagen, maar het ook de hogere criminelen in staat stelt zich te concentreren op een enkel gebied en ontwikkel meer geavanceerde tactieken en malware.

"We hebben alleen al in januari 10 een toename van 2023% gezien in de inzet van phishingkits", zei Fitzpatrick.

In 2022 zag het bedrijf een toename van 45% in phishingwaarschuwingen en -detecties.

Maar het zijn niet alleen phishing-aanvallen die in opkomst zijn, het zijn allemaal cyberaanvallen. Uit gegevens van Check Point bleek dat er in 2022 een toename was van 52% in wekelijkse cyberaanvallen op de financiële/banksector in vergelijking met aanvallen in 2021.

"De complexiteit van cyberaanvallen en fraude is het afgelopen jaar aanzienlijk toegenomen", zegt Sergey Shykevich, de manager van de dreigingsgroep bij Check Point. "Nu vertrouwen cybercriminelen in veel gevallen niet alleen op het verzenden van phishing-/kwaadaardige e-mails en wachten tot de mensen erop klikken, maar combineren ze dit met telefoontjes, MFA [multifactor authenticatie] vermoeidheidsaanvallen en meer."

Beide cyberbeveiligingsexperts zeiden dat banken meer kunnen doen om klanten voor te lichten. 

Shykevich zei dat de banken moeten investeren in betere dreigingsinformatie die de methoden die cybercriminelen gebruiken kan detecteren en blokkeren. Een voorbeeld dat hij gaf, is het vergelijken van een login met de digitale 'vingerafdruk' van een persoon, die is gebaseerd op gegevens zoals de browser die een account gebruikt, schermresolutie of toetsenbordtaal.

Over één ding waren Chase, federale agentschappen en cyberbeveiligingsexperts het allemaal eens: als een klant wordt gebeld door zijn bank en de persoon begint om informatie te vragen, hang dan op en bel de bank zelf terug.

“Als een consument uit het niets een telefoontje, sms of e-mail krijgt van iemand die beweert van zijn bank te zijn en hen op de hoogte stelt van een probleem, moet de consument ophangen (of de sms/e-mail verwijderen en niet op links klikken) en probeer hun bank te bellen op een telefoonnummer waarvan ze weten dat het echt is', zei een FTC-woordvoerder.

Cybercriminelen hebben de mogelijkheid om beller-ID te vervalsen en ze kunnen gestolen persoonlijke informatie gebruiken om een ​​slachtoffer te misleiden om geld te overhandigen.

Stuur een e-mail naar [e-mail beveiligd]