Cody Mullenaux und seine Familie. Mullenaux wurde Opfer eines ausgeklügelten Drahtbetrugssystems, das dazu führte, dass 120,000 US-Dollar gestohlen wurden
Mit freundlicher Genehmigung: Cody Mullenaux
Banken haben enorme Summen für Cybersicherheit und Betrugserkennung ausgegeben, aber was passiert, wenn kriminelle Taktiken ausgeklügelt genug sind, um sogar Bankangestellte zu täuschen?
Für Cody Mullenaux bedeutete dies, dass mehr als 120,000 Dollar von seinem Chase-Girokonto überwiesen wurden, mit wenig Hoffnung, seine gestohlenen Gelder jemals wiederzuerlangen.
Die Geschichte von Mullenaux, einem 40-jährigen Kleinunternehmer aus Kalifornien, begann am 19. Dezember. Während er Weihnachtseinkäufe für seine kleine Tochter machte, erhielt er einen Anruf von einer Person, die behauptete, von der Chase-Betrugsabteilung zu sein, und um Bestätigung bat eine verdächtige Transaktion.
Die 800-Nummer stimmte mit dem Kundendienst von Chase überein, sodass Mullenaux es nicht für verdächtig hielt, als die Person ihn aufforderte, sich über einen gesicherten Link, der per SMS zu Identifikationszwecken gesendet wurde, in sein Konto einzuloggen. Der Link sah seriös aus und die sich öffnende Website schien identisch mit seiner Chase-Banking-App zu sein, also loggte er sich ein.
„Mir ist nie in den Sinn gekommen, dass ich nicht mit einem legitimen Chase-Vertreter gesprochen habe“, sagte Mullenaux gegenüber CNBC.
Vorbei sind die Zeiten, in denen sich Verbraucher nur vor verdächtigen E-Mails oder Links in Acht nehmen mussten. Die Taktiken der Cyberkriminellen haben sich in mehrgleisige Schemata verwandelt, bei denen mehrere Kriminelle als Team agieren, um ausgeklügelte Taktiken mit vorgefertigter Software anzuwenden, die in Kits verkauft werden, die Telefonnummern maskieren und Anmeldeseiten der Bank eines Opfers nachahmen. Es handelt sich um eine allgegenwärtige Bedrohung, die laut Cybersicherheitsexperten zu einem Anstieg der Aktivitäten führt. Sie sagen voraus, dass es nur noch schlimmer wird. Leider ist die Bank für Opfer dieser Systeme nicht immer verpflichtet, die gestohlenen Gelder zurückzuzahlen.
Nachdem er eingeloggt war, sagte Mullenaux, er habe gesehen, wie große Geldbeträge zwischen seinen Konten hin und her bewegt wurden. Die Person am Telefon sagte ihm, dass jemand auf seinem Konto aktiv versuchte, sein Geld zu stehlen, und dass die einzige Möglichkeit, es sicher aufzubewahren, darin bestehe, Geld an die Bankaufsicht zu überweisen, wo es vorübergehend aufbewahrt würde, während sie sein Konto sicherten.
Aus Angst, dass seine hart verdienten Ersparnisse gestohlen werden könnten, sagte Mullenaux, er sei fast drei Stunden am Telefon geblieben, habe alle Anweisungen befolgt und zusätzliche Sicherheitsfragen beantwortet, die ihm gestellt worden seien.
CNBC hat Mullenaux' Mobilfunkaufzeichnungen, Bankkontoinformationen sowie Bilder der Textnachricht und des Links, die ihm gesendet wurden, überprüft.
Ein Team von Betrügern
In einer Erklärung gegenüber CNBC, a Verfolgungsjagd Der Sprecher sagte: „Banken werden Verbraucher oder Unternehmen niemals bitten, Geld an sich selbst oder andere zu senden, um Betrug zu verhindern, aber Betrüger werden es tun. Um zu bestätigen, dass Sie wirklich mit Chase sprechen, rufen Sie die Nummer auf der Rückseite Ihrer Karte an oder besuchen Sie eine Filiale.“
Cody Mullenaux, der Erfinder und Gründer von Aquaphant, einem Technologieunternehmen, das Feuchtigkeit aus der Luft in gefiltertes Wasser umwandelt, mit seinem Team und seiner Familie.
Mit freundlicher Genehmigung: Cody Mullenaux
Wenig Rückgriff für Opfer von Drahtbetrug
Betrüger nutzten Gesetzeslücken aus
Ausgefeilte Betrugstaktiken auf dem Vormarsch
Es sind nicht nur Chase-Kunden, die mit diesen ausgeklügelten Schemata von Cyberkriminellen angegriffen werden. Im vergangenen Sommer hat IronNet aufgedeckt eine „Phishing-as-a-Service“-Plattform das vorgefertigte Phishing-Kits an Cyberkriminelle verkauft, die es auf in den USA ansässige Unternehmen, einschließlich Banken, abgesehen haben. Die anpassbaren Kits können ab 50 US-Dollar pro Monat kosten und enthalten Code, Grafiken und Konfigurationsdateien, die den Anmeldeseiten von Banken ähneln.
Joey Fitzpatrick, Manager für Bedrohungsanalyse bei IronNet, sagte, dass er zwar nicht mit Sicherheit sagen kann, dass Mullenaux auf diese Weise betrogen wurde, „der Angriff gegen ihn jedoch alle Kennzeichen von Angreifern trägt, die dieselben multimodalen Tools wie Phishing einsetzen -a-Service-Plattformen bieten.“
Er geht davon aus, dass „as-a-Service“-Angebote weiter an Bedeutung gewinnen werden, da die Kits nicht nur die Messlatte für Cyberkriminelle auf niedriger bis mittlerer Ebene senken, um Phishing-Kampagnen zu erstellen, sondern es auch den Kriminellen der höheren Ebene ermöglichen, sich zu konzentrieren in einem einzigen Bereich und entwickeln ausgefeiltere Taktiken und Malware.
„Wir haben allein im Januar 10 einen Anstieg der Bereitstellung von Phishing-Kits um 2023 % festgestellt“, sagte Fitzpatrick.
Im Jahr 2022 verzeichnete das Unternehmen einen Anstieg der Phishing-Warnungen und -Erkennungen um 45 %.
Aber es sind nicht nur Phishing-Schemata auf dem Vormarsch, es sind alles Cyberangriffe. Daten von Check Point zeigten, dass es im Jahr 2022 einen Anstieg der wöchentlichen Cyberangriffe auf den Finanz-/Bankensektor um 52 % im Vergleich zu Angriffen im Jahr 2021 gab.
„Die Raffinesse von Cyberangriffen und Betrugsschemata hat im letzten Jahr erheblich zugenommen“, sagte Sergey Shykevich, der Manager der Bedrohungsgruppe bei Check Point. „Heute verlassen sich Cyberkriminelle in vielen Fällen nicht nur darauf, Phishing-/bösartige E-Mails zu versenden und darauf zu warten, dass die Leute darauf klicken, sondern kombinieren sie mit Telefonanrufen, MFA-Angriffen [Multifaktor-Authentifizierung] und mehr.“
Beide Cybersicherheitsexperten sagten, Banken könnten mehr tun, um Kunden aufzuklären.
Shykevich sagte, die Banken sollten in bessere Bedrohungsinformationen investieren, die Methoden von Cyberkriminellen erkennen und blockieren können. Ein Beispiel, das er nannte, ist der Vergleich eines Logins mit dem digitalen „Fingerabdruck“ einer Person, der auf Daten wie dem Browser, den ein Konto verwendet, der Bildschirmauflösung oder der Tastatursprache basiert.
Bester Tipp: Hör auf
Quelle: https://www.cnbc.com/2023/02/06/phishing-as-a-service-kits-drive-uptick-in-theft-one-business-owners-story.html