Les kits de "phishing-as-a-service" augmentent le nombre de vols : l'histoire d'un propriétaire d'entreprise

Les banques ont dépensé des sommes énormes pour la cybersécurité et la détection des fraudes, mais que se passe-t-il lorsque les tactiques criminelles sont suffisamment sophistiquées pour tromper même les employés des banques ? 

Pour Cody Mullenaux, cela signifiait avoir plus de 120,000 XNUMX $ virés de son compte courant Chase avec peu d'espoir de récupérer ses fonds volés.

La saga de Mullenaux, un propriétaire de petite entreprise de Californie âgé de 40 ans, a commencé le 19 décembre. Alors qu'il faisait les courses de Noël pour sa jeune fille, il a reçu un appel d'une personne prétendant appartenir au service des fraudes de Chase et lui demandant de vérifier une opération suspecte.

Le numéro 800 correspondait au service client de Chase, donc Mullenaux n'a pas pensé que c'était suspect lorsque la personne lui a demandé de se connecter à son compte via un lien sécurisé envoyé par SMS à des fins d'identification. Le lien semblait légitime et le site Web qui s'ouvrait semblait identique à son application bancaire Chase, il s'est donc connecté. 

"Il ne m'est même jamais venu à l'esprit que je ne parlais pas avec un représentant légitime de Chase", a déclaré Mullenaux à CNBC.

Fini le temps où la seule chose dont un consommateur devait se méfier était un e-mail ou un lien suspect. Les tactiques des cybercriminels se sont transformées en stratagèmes à plusieurs volets, plusieurs criminels agissant en équipe pour déployer des tactiques sophistiquées impliquant des logiciels prêts à l'emploi vendus dans des kits qui masquent les numéros de téléphone et imitent les pages de connexion de la banque d'une victime. Il s'agit d'une menace omniprésente qui, selon les experts en cybersécurité, entraîne une augmentation de l'activité. Ils prédisent que cela ne fera qu'empirer. Malheureusement, pour les victimes de ces stratagèmes, la banque n'est pas toujours tenue de rembourser les fonds volés.

Après s'être connecté, Mullenaux a déclaré avoir vu de grosses sommes d'argent passer d'un compte à l'autre. La personne au téléphone lui a dit que quelqu'un était sur son compte essayant activement de voler son argent et que la seule façon de le garder en sécurité était de virer de l'argent au superviseur de la banque, où il serait temporairement retenu pendant qu'ils sécurisaient son compte.

Terrifié à l'idée que ses économies durement gagnées étaient sur le point d'être volées, Mullenaux a déclaré qu'il était resté au téléphone pendant près de trois heures, avait suivi toutes les instructions qui lui avaient été données et avait répondu aux questions de sécurité supplémentaires qui lui avaient été posées. 

CNBC a examiné les enregistrements cellulaires de Mullenaux, les informations de compte bancaire, ainsi que les images du message texte et du lien qui lui ont été envoyés.

Ce que Mullenaux, inventeur et fondateur d'Aquaphant, une entreprise technologique qui convertit l'humidité de l'air en eau filtrée, ne savait pas, c'est que la personne au téléphone faisait partie d'une équipe cybercriminelle sophistiquée.

Alors que Mullenaux parlait avec ce faux représentant du service des fraudes, un deuxième escroc se faisait passer pour Mullenaux lors d'un autre appel téléphonique avec Chase pour autoriser les virements bancaires. Toutes les réponses aux questions de sécurité posées à Mullenaux étaient ensuite transmises au deuxième escroc. Cela a permis aux fraudeurs de fournir les bonnes réponses et de convaincre l'employé de Chase qu'ils parlaient au titulaire du compte.

Le canular a fonctionné. Une fois que l'employé de Chase a été convaincu que c'était Mullenaux qui avait appelé pour autoriser les trois virements électroniques, plus de 120,000 XNUMX $ ont disparu de son compte bancaire et malgré tous ses efforts, rien n'a été récupéré. 

Dans une déclaration à CNBC, un chasse Le porte-parole a déclaré: «Les banques ne demanderont jamais aux consommateurs ou aux entreprises de s'envoyer de l'argent à eux-mêmes ou à quelqu'un d'autre pour prévenir la fraude, mais les escrocs le feront. Pour confirmer que vous parlez vraiment à Chase, appelez le numéro au dos de votre carte ou rendez-vous dans une succursale.

Mullenaux a déclaré qu'il se sentait frustré et vaincu par son expérience en essayant de récupérer ses fonds volés.

"Peu importe ce qu'ils font pour essayer de protéger les clients, les escrocs ont toujours une longueur d'avance", a déclaré Mullenaux, ajoutant que son argent aurait été plus en sécurité dans une boîte à chaussures que dans une grande banque ciblée par les cybercriminels.

La Federal Trade Commission conseille à tout client qui pense avoir envoyé de l'argent à des escrocs par virement bancaire de contacter immédiatement sa banque, de signaler le transfert frauduleux et de demander son annulation.

Le temps est critique lorsque vous essayez de récupérer des fonds envoyés par virement électronique frauduleux, a déclaré la FTC à CNBC. L'agence a déclaré que les victimes devraient également signaler le crime à l'agence ainsi qu'au centre de plainte contre la criminalité sur Internet du FBI, le jour même ou le lendemain, si possible. 

Mullenaux a déclaré qu'il s'était rendu compte que quelque chose n'allait pas le lendemain matin lorsque ses fonds n'avaient pas été restitués sur son compte.

Il s'est immédiatement rendu à sa succursale bancaire Chase locale où on lui a dit qu'il avait probablement été victime d'une fraude. Mullenaux a déclaré que l'affaire n'avait pas été traitée avec un sentiment d'urgence et qu'une tentative de virement bancaire inversé, que la FTC suggère aux clients de demander, n'était pas proposée en option.

Au lieu de cela, Mullenaux a déclaré que l'employé de la succursale lui avait dit qu'il recevrait un paquet par la poste dans les 10 jours qu'il pourrait remplir pour déposer une réclamation. Mullenaux a immédiatement demandé le paquet. Il l'a rempli et l'a remis le jour même.

Cette réclamation, ainsi qu'une seconde que Mullenaux a déposée auprès de l'exécutif, ont été rejetées. Les employés enquêtant sur l'affaire ont déclaré que Mullenaux avait appelé pour autoriser les virements bancaires.

CNBC a fourni à Chase les relevés de téléphone cellulaire de Mullenaux qui montraient qu'il n'avait jamais passé d'appels téléphoniques sortants à Chase le jour en question. Les enregistrements suggèrent également, par rapport aux enregistrements de virements électroniques, que ce n'est pas Mullenaux qui a appelé Chase pour autoriser les virements bancaires, car tous les trois ont été autorisés et ont traversé alors que Mullenaux était encore au téléphone avec les escrocs.

Cependant, cela n'a pas changé la décision de la banque et, encore une fois, la demande de Mullenaux a été rejetée car il avait partagé ses informations privées avec les criminels.

Que les escrocs aient réalisé qu'ils le faisaient ou non, ils ont exploité avec succès deux failles dans la législation actuelle sur la protection des consommateurs, ce qui a permis à Chase de ne pas être obligé de remplacer les fonds volés de Mullenaux. Légalement, les banques ne sont pas tenues de rembourser les fonds volés lorsqu'un client est amené à envoyer de l'argent à un cybercriminel.

Cependant, en vertu de la loi sur le transfert électronique de fonds, qui couvre la plupart des types de transactions électroniques telles que les paiements entre pairs et les paiements ou virements en ligne, les banques sont tenues de rembourser les clients lorsque des fonds sont volés sans que le client ne l'autorise. Malheureusement, les virements électroniques, qui consistent à transférer de l'argent d'une banque à une autre, ne sont pas couverts par la loi, qui exclut également la fraude impliquant des chèques papier et des cartes prépayées.

Les cybercriminels ont également transféré des fonds des comptes chèques et d'épargne personnels de Mullenaux vers son compte professionnel avant de lancer les virements électroniques. Le règlement E, qui est conçu pour aider les consommateurs à récupérer leur argent d'une transaction non autorisée, ne protège que les particuliers, pas les comptes des entreprises.

Un représentant de Chase a déclaré que l'enquête se poursuivait alors que la banque tentait de récupérer les fonds volés.

C'est quelque chose pour lequel Mullenaux dit qu'il prie. "Je prie pour que cette tragédie soit en quelque sorte réconciliée, que la direction [de la banque] voie ce qui m'est arrivé et que mon argent me soit rendu."

Mullenaux a également déposé des rapports auprès de la police locale et du Internet Crime Complaint Center du FBI, mais aucun ne l'a contacté à propos de son cas.

Ce ne sont pas seulement les clients de Chase qui sont ciblés par les cybercriminels avec ces stratagèmes sophistiqués. L'été dernier, IronNet a découvert une plateforme de « phishing-as-a-service » qui vend des kits de phishing prêts à l'emploi aux cybercriminels qui ciblent les entreprises basées aux États-Unis, y compris les banques. Les kits personnalisables peuvent coûter aussi peu que 50 $ par mois et inclure du code, des graphiques et des fichiers de configuration pour ressembler à des pages de connexion bancaire.

Joey Fitzpatrick, responsable de l'analyse des menaces chez IronNet, a déclaré que même s'il ne peut pas dire avec certitude que c'est ainsi que Mullenaux a été fraudé, "l'attaque contre lui porte toutes les caractéristiques des attaquants utilisant le même type d'outils multimodaux que le phishing-as -a-plates-formes de service fournissent.

Il s'attend à ce que les offres de type « as-a-service » ne fassent que continuer à gagner du terrain, car les kits abaissent non seulement la barre pour les cybercriminels de niveau inférieur à moyen pour créer des campagnes de phishing, mais ils permettent également aux criminels de niveau supérieur de se concentrer. sur un seul domaine et développer des tactiques et des logiciels malveillants plus sophistiqués.

"Nous avons constaté une augmentation de 10 % du déploiement de kits de phishing rien qu'en janvier 2023", a déclaré Fitzpatrick.

En 2022, l'entreprise a enregistré une augmentation de 45 % des alertes et détections de phishing.

Mais ce ne sont pas seulement les stratagèmes de phishing qui se multiplient, ce sont toutes les cyberattaques. Les données de Check Point ont montré qu'en 2022, il y avait une augmentation de 52 % des cyberattaques hebdomadaires dans le secteur financier/bancaire par rapport aux attaques de 2021.

"La sophistication des cyberattaques et des stratagèmes de fraude a considérablement augmenté au cours de l'année dernière", a déclaré Sergey Shykevich, responsable du groupe de menaces chez Check Point. "Maintenant, dans de nombreux cas, les cybercriminels ne se contentent pas d'envoyer des e-mails de phishing/malveillants et d'attendre que les gens cliquent dessus, mais les combinent avec des appels téléphoniques, des attaques de fatigue MFA [multifactor authentication] et plus encore."

Les deux experts en cybersécurité ont déclaré que les banques peuvent faire plus pour éduquer les clients. 

Shykevich a déclaré que les banques devraient investir dans de meilleures informations sur les menaces capables de détecter et de bloquer les méthodes utilisées par les cybercriminels. Un exemple qu'il a donné consiste à comparer une connexion à «l'empreinte digitale» numérique d'une personne, qui est basée sur des données telles que le navigateur utilisé par un compte, la résolution de l'écran ou la langue du clavier.

Il y avait une chose sur laquelle Chase, les agences fédérales et les experts en cybersécurité étaient tous d'accord : si un client reçoit un appel téléphonique de sa banque et que la personne commence à demander des informations, raccrochez et rappelez la banque vous-même.

"Si un consommateur reçoit un appel, un SMS ou un e-mail à l'improviste d'une personne prétendant être de sa banque, l'avertissant d'un problème, le consommateur doit raccrocher (ou supprimer le texte/l'e-mail et ne pas cliquer sur les liens) et essayez d'appeler leur banque sur un numéro de téléphone qu'ils savent être réel », a déclaré un porte-parole de la FTC.

Les cybercriminels ont la capacité d'usurper l'identité de l'appelant et ils peuvent utiliser des informations personnelles volées pour inciter une victime à remettre de l'argent.

Veuillez envoyer des conseils par e-mail à [email protected]