„Phishing-as-a-Service“-Kits treiben Diebstähle in die Höhe: Die Geschichte eines Geschäftsinhabers

Banken haben enorme Summen für Cybersicherheit und Betrugserkennung ausgegeben, aber was passiert, wenn kriminelle Taktiken ausgeklügelt genug sind, um sogar Bankangestellte zu täuschen? 

Für Cody Mullenaux bedeutete dies, dass mehr als 120,000 Dollar von seinem Chase-Girokonto überwiesen wurden, mit wenig Hoffnung, seine gestohlenen Gelder jemals wiederzuerlangen.

Die Geschichte von Mullenaux, einem 40-jährigen Kleinunternehmer aus Kalifornien, begann am 19. Dezember. Während er Weihnachtseinkäufe für seine kleine Tochter machte, erhielt er einen Anruf von einer Person, die behauptete, von der Chase-Betrugsabteilung zu sein, und um Bestätigung bat eine verdächtige Transaktion.

Die 800-Nummer stimmte mit dem Kundendienst von Chase überein, sodass Mullenaux es nicht für verdächtig hielt, als die Person ihn aufforderte, sich über einen gesicherten Link, der per SMS zu Identifikationszwecken gesendet wurde, in sein Konto einzuloggen. Der Link sah seriös aus und die sich öffnende Website schien identisch mit seiner Chase-Banking-App zu sein, also loggte er sich ein. 

„Mir ist nie in den Sinn gekommen, dass ich nicht mit einem legitimen Chase-Vertreter gesprochen habe“, sagte Mullenaux gegenüber CNBC.

Vorbei sind die Zeiten, in denen sich Verbraucher nur vor verdächtigen E-Mails oder Links in Acht nehmen mussten. Die Taktiken der Cyberkriminellen haben sich in mehrgleisige Schemata verwandelt, bei denen mehrere Kriminelle als Team agieren, um ausgeklügelte Taktiken mit vorgefertigter Software anzuwenden, die in Kits verkauft werden, die Telefonnummern maskieren und Anmeldeseiten der Bank eines Opfers nachahmen. Es handelt sich um eine allgegenwärtige Bedrohung, die laut Cybersicherheitsexperten zu einem Anstieg der Aktivitäten führt. Sie sagen voraus, dass es nur noch schlimmer wird. Leider ist die Bank für Opfer dieser Systeme nicht immer verpflichtet, die gestohlenen Gelder zurückzuzahlen.

Nachdem er eingeloggt war, sagte Mullenaux, er habe gesehen, wie große Geldbeträge zwischen seinen Konten hin und her bewegt wurden. Die Person am Telefon sagte ihm, dass jemand auf seinem Konto aktiv versuchte, sein Geld zu stehlen, und dass die einzige Möglichkeit, es sicher aufzubewahren, darin bestehe, Geld an die Bankaufsicht zu überweisen, wo es vorübergehend aufbewahrt würde, während sie sein Konto sicherten.

Aus Angst, dass seine hart verdienten Ersparnisse gestohlen werden könnten, sagte Mullenaux, er sei fast drei Stunden am Telefon geblieben, habe alle Anweisungen befolgt und zusätzliche Sicherheitsfragen beantwortet, die ihm gestellt worden seien. 

CNBC hat Mullenaux' Mobilfunkaufzeichnungen, Bankkontoinformationen sowie Bilder der Textnachricht und des Links, die ihm gesendet wurden, überprüft.

Was Mullenaux, Erfinder und Gründer von Aquaphant, einem Technologieunternehmen, das Feuchtigkeit aus der Luft in gefiltertes Wasser umwandelt, nicht wusste, war, dass die Person am Telefon Teil eines raffinierten Cyberkriminellenteams war.

Während Mullenaux mit diesem gefälschten Vertreter der Betrugsabteilung sprach, gab sich ein zweiter Betrüger bei einem weiteren Telefonat mit Chase als Mullenaux aus, um die Überweisungen zu autorisieren. Alle Antworten auf die Sicherheitsfragen, die Mullenaux gestellt wurden, wurden dann an den zweiten Betrüger weitergegeben. Dies ermöglichte es den Betrügern, die richtigen Antworten zu geben und den Chase-Mitarbeiter davon zu überzeugen, dass sie mit dem Kontoinhaber sprachen.

Der Scherz hat funktioniert. Nachdem der Chase-Mitarbeiter davon überzeugt war, dass es Mullenaux war, der anrief, um die drei Überweisungen zu autorisieren, verschwanden über 120,000 Dollar von seinem Bankkonto und trotz seiner größten Bemühungen wurde nichts davon zurückerstattet. 

In einer Erklärung gegenüber CNBC, a Verfolgungsjagd Der Sprecher sagte: „Banken werden Verbraucher oder Unternehmen niemals bitten, Geld an sich selbst oder andere zu senden, um Betrug zu verhindern, aber Betrüger werden es tun. Um zu bestätigen, dass Sie wirklich mit Chase sprechen, rufen Sie die Nummer auf der Rückseite Ihrer Karte an oder besuchen Sie eine Filiale.“

Mullenaux sagte, er fühle sich frustriert und niedergeschlagen über seine Erfahrung beim Versuch, seine gestohlenen Gelder zurückzugewinnen.

„Egal, was sie tun, um Kunden zu schützen, Betrüger sind immer einen Schritt voraus“, sagte Mullenaux und fügte hinzu, dass sein Geld in einem Schuhkarton sicherer gewesen wäre als in einer großen Bank, auf die Cyberkriminelle abzielen.

Die Federal Trade Commission rät, dass jeder Kunde, der glaubt, dass er Geld per Überweisung an Betrüger geschickt haben könnte, unverzüglich seine Bank kontaktieren, die betrügerische Überweisung melden und deren Rückgängigmachung verlangen sollte.

Zeit ist entscheidend, wenn versucht wird, per betrügerischer Überweisung gesendete Gelder wiederzuerlangen, sagte die FTC gegenüber CNBC. Die Agentur sagte, Opfer sollten das Verbrechen auch der Agentur sowie dem Internet Crime Complaint Center des FBI melden, wenn möglich am selben Tag oder am nächsten Tag. 

Mullenaux sagte, er habe am nächsten Morgen bemerkt, dass etwas nicht stimmte, als sein Geld nicht auf sein Konto zurückgekehrt war.

Er fuhr sofort zu seiner örtlichen Chase-Bankfiliale, wo ihm gesagt wurde, er sei wahrscheinlich Opfer eines Betrugs geworden. Mullenaux sagte, die Angelegenheit sei nicht mit einem Gefühl der Dringlichkeit behandelt worden, und ein Rücküberweisungsversuch, den die FTC den Kunden vorschlägt, wurde nicht als Option angeboten.

Stattdessen sagte Mullenaux, der Mitarbeiter der Filiale habe ihm gesagt, er würde innerhalb von 10 Tagen ein Paket per Post erhalten, das er ausfüllen könne, um einen Anspruch geltend zu machen. Mullenaux bat sofort um das Paket. Er füllte es aus und reichte es noch am selben Tag ein.

Diese Behauptung wurde zusammen mit einer zweiten, die Mullenaux bei der Exekutive eingereicht hatte, abgelehnt. Die Mitarbeiter, die die Angelegenheit untersuchten, sagten, Mullenaux habe angerufen, um die Überweisungen zu genehmigen.

CNBC stellte Chase die Handyaufzeichnungen von Mullenaux zur Verfügung, aus denen hervorgeht, dass er an dem fraglichen Tag niemals ausgehende Anrufe bei Chase getätigt hatte. Die Aufzeichnungen deuten auch im Vergleich zu den Aufzeichnungen der Überweisungen darauf hin, dass es nicht Mullenaux gewesen sein kann, der Chase anrief, um die Überweisungen zu autorisieren, da alle drei autorisiert waren und durchgingen, während Mullenaux noch mit den Betrügern telefonierte.

Dies änderte jedoch nichts an der Entscheidung der Bank, und erneut wurde Mullenaux' Anspruch abgelehnt, da er seine privaten Informationen mit den Kriminellen geteilt hatte.

Ob die Betrüger sich dessen bewusst waren oder nicht, sie nutzten erfolgreich zwei Schlupflöcher in der aktuellen Verbraucherschutzgesetzgebung aus, die dazu führten, dass Chase die gestohlenen Gelder von Mullenaux nicht ersetzen musste. Rechtlich gesehen müssen Banken gestohlene Gelder nicht erstatten, wenn ein Kunde dazu verleitet wird, Geld an einen Cyberkriminellen zu senden.

Nach dem Electronic Fund Transfer Act, der die meisten Arten elektronischer Transaktionen wie Peer-to-Peer-Zahlungen und Online-Zahlungen oder -Überweisungen abdeckt, sind Banken jedoch verpflichtet, Kunden zurückzuzahlen, wenn Gelder gestohlen werden, ohne dass der Kunde dies autorisiert hat. Leider fallen Überweisungen, bei denen Geld von einer Bank zur anderen überwiesen wird, nicht unter das Gesetz, das auch Betrug mit Papierschecks und Prepaid-Karten ausschließt.

Die Cyberkriminellen überwiesen auch Gelder von Mullenaux' privaten Giro- und Sparkonten auf sein Geschäftskonto, bevor sie die Überweisungen veranlassten. Regulation E, die Verbrauchern dabei helfen soll, ihr Geld aus einer nicht autorisierten Transaktion zurückzubekommen, schützt nur Einzelpersonen, nicht Geschäftskonten.

Ein Vertreter von Chase sagte, dass die Ermittlungen noch andauern, da die Bank versucht, die gestohlenen Gelder wiederzuerlangen.

Das ist etwas, wofür Mullenaux sagt, dass er betet. „Ich bete, dass diese Tragödie irgendwie versöhnt wird, dass das [Bank-]Management sieht, was mit mir passiert ist, und dass mein Geld zurückerstattet wird.“

Mullenaux hat auch bei der örtlichen Polizei und dem Beschwerdezentrum für Internetkriminalität des FBI Anzeige erstattet, aber keiner hat ihn wegen seines Falls kontaktiert.

Es sind nicht nur Chase-Kunden, die mit diesen ausgeklügelten Schemata von Cyberkriminellen angegriffen werden. Im vergangenen Sommer hat IronNet aufgedeckt eine „Phishing-as-a-Service“-Plattform das vorgefertigte Phishing-Kits an Cyberkriminelle verkauft, die es auf in den USA ansässige Unternehmen, einschließlich Banken, abgesehen haben. Die anpassbaren Kits können ab 50 US-Dollar pro Monat kosten und enthalten Code, Grafiken und Konfigurationsdateien, die den Anmeldeseiten von Banken ähneln.

Joey Fitzpatrick, Manager für Bedrohungsanalyse bei IronNet, sagte, dass er zwar nicht mit Sicherheit sagen kann, dass Mullenaux auf diese Weise betrogen wurde, „der Angriff gegen ihn jedoch alle Kennzeichen von Angreifern trägt, die dieselben multimodalen Tools wie Phishing einsetzen -a-Service-Plattformen bieten.“

Er geht davon aus, dass „as-a-Service“-Angebote weiter an Bedeutung gewinnen werden, da die Kits nicht nur die Messlatte für Cyberkriminelle auf niedriger bis mittlerer Ebene senken, um Phishing-Kampagnen zu erstellen, sondern es auch den Kriminellen der höheren Ebene ermöglichen, sich zu konzentrieren in einem einzigen Bereich und entwickeln ausgefeiltere Taktiken und Malware.

„Wir haben allein im Januar 10 einen Anstieg der Bereitstellung von Phishing-Kits um 2023 % festgestellt“, sagte Fitzpatrick.

Im Jahr 2022 verzeichnete das Unternehmen einen Anstieg der Phishing-Warnungen und -Erkennungen um 45 %.

Aber es sind nicht nur Phishing-Schemata auf dem Vormarsch, es sind alles Cyberangriffe. Daten von Check Point zeigten, dass es im Jahr 2022 einen Anstieg der wöchentlichen Cyberangriffe auf den Finanz-/Bankensektor um 52 % im Vergleich zu Angriffen im Jahr 2021 gab.

„Die Raffinesse von Cyberangriffen und Betrugsschemata hat im letzten Jahr erheblich zugenommen“, sagte Sergey Shykevich, der Manager der Bedrohungsgruppe bei Check Point. „Heute verlassen sich Cyberkriminelle in vielen Fällen nicht nur darauf, Phishing-/bösartige E-Mails zu versenden und darauf zu warten, dass die Leute darauf klicken, sondern kombinieren sie mit Telefonanrufen, MFA-Angriffen [Multifaktor-Authentifizierung] und mehr.“

Beide Cybersicherheitsexperten sagten, Banken könnten mehr tun, um Kunden aufzuklären. 

Shykevich sagte, die Banken sollten in bessere Bedrohungsinformationen investieren, die Methoden von Cyberkriminellen erkennen und blockieren können. Ein Beispiel, das er nannte, ist der Vergleich eines Logins mit dem digitalen „Fingerabdruck“ einer Person, der auf Daten wie dem Browser, den ein Konto verwendet, der Bildschirmauflösung oder der Tastatursprache basiert.

In einem waren sich Chase, Bundesbehörden und Cybersicherheitsexperten einig: Wenn ein Kunde einen Anruf von seiner Bank erhält und die Person anfängt, nach Informationen zu fragen, legen Sie auf und rufen Sie die Bank selbst zurück.

„Wenn ein Verbraucher aus heiterem Himmel einen Anruf, eine SMS oder E-Mail von jemandem erhält, der behauptet, von seiner Bank zu sein, und ihn auf ein Problem hinweist, sollte der Verbraucher auflegen (oder die SMS/E-Mail löschen und nicht auf Links klicken). und versuchen Sie, ihre Bank unter einer Telefonnummer anzurufen, von der sie wissen, dass sie echt ist“, sagte ein FTC-Sprecher.

Cyberkriminelle haben die Möglichkeit, die Anrufer-ID zu fälschen, und sie können gestohlene persönliche Informationen verwenden, um ein Opfer dazu zu bringen, Geld zu übergeben.

Bitte senden Sie Tipps per E-Mail an [E-Mail geschützt]