Cody Mullenaux et sa famille. Mullenaux a été victime d'un stratagème sophistiqué de fraude par fil qui a entraîné le vol de 120,000 XNUMX $
Avec l'aimable autorisation de Cody Mullenaux
Les banques ont dépensé des sommes énormes pour la cybersécurité et la détection des fraudes, mais que se passe-t-il lorsque les tactiques criminelles sont suffisamment sophistiquées pour tromper même les employés des banques ?
Pour Cody Mullenaux, cela signifiait avoir plus de 120,000 XNUMX $ virés de son compte courant Chase avec peu d'espoir de récupérer ses fonds volés.
La saga de Mullenaux, un propriétaire de petite entreprise de Californie âgé de 40 ans, a commencé le 19 décembre. Alors qu'il faisait les courses de Noël pour sa jeune fille, il a reçu un appel d'une personne prétendant appartenir au service des fraudes de Chase et lui demandant de vérifier une opération suspecte.
Le numéro 800 correspondait au service client de Chase, donc Mullenaux n'a pas pensé que c'était suspect lorsque la personne lui a demandé de se connecter à son compte via un lien sécurisé envoyé par SMS à des fins d'identification. Le lien semblait légitime et le site Web qui s'ouvrait semblait identique à son application bancaire Chase, il s'est donc connecté.
"Il ne m'est même jamais venu à l'esprit que je ne parlais pas avec un représentant légitime de Chase", a déclaré Mullenaux à CNBC.
Fini le temps où la seule chose dont un consommateur devait se méfier était un e-mail ou un lien suspect. Les tactiques des cybercriminels se sont transformées en stratagèmes à plusieurs volets, plusieurs criminels agissant en équipe pour déployer des tactiques sophistiquées impliquant des logiciels prêts à l'emploi vendus dans des kits qui masquent les numéros de téléphone et imitent les pages de connexion de la banque d'une victime. Il s'agit d'une menace omniprésente qui, selon les experts en cybersécurité, entraîne une augmentation de l'activité. Ils prédisent que cela ne fera qu'empirer. Malheureusement, pour les victimes de ces stratagèmes, la banque n'est pas toujours tenue de rembourser les fonds volés.
Après s'être connecté, Mullenaux a déclaré avoir vu de grosses sommes d'argent passer d'un compte à l'autre. La personne au téléphone lui a dit que quelqu'un était sur son compte essayant activement de voler son argent et que la seule façon de le garder en sécurité était de virer de l'argent au superviseur de la banque, où il serait temporairement retenu pendant qu'ils sécurisaient son compte.
Terrifié à l'idée que ses économies durement gagnées étaient sur le point d'être volées, Mullenaux a déclaré qu'il était resté au téléphone pendant près de trois heures, avait suivi toutes les instructions qui lui avaient été données et avait répondu aux questions de sécurité supplémentaires qui lui avaient été posées.
CNBC a examiné les enregistrements cellulaires de Mullenaux, les informations de compte bancaire, ainsi que les images du message texte et du lien qui lui ont été envoyés.
Une équipe d'escrocs
Dans une déclaration à CNBC, un chasse Le porte-parole a déclaré: «Les banques ne demanderont jamais aux consommateurs ou aux entreprises de s'envoyer de l'argent à eux-mêmes ou à quelqu'un d'autre pour prévenir la fraude, mais les escrocs le feront. Pour confirmer que vous parlez vraiment à Chase, appelez le numéro au dos de votre carte ou rendez-vous dans une succursale.
Cody Mullenaux, inventeur et fondateur d'Aquaphant, une entreprise technologique qui convertit l'humidité de l'air en eau filtrée, avec son équipe et sa famille.
Avec l'aimable autorisation de Cody Mullenaux
Peu de recours pour les victimes d'escroqueries par fil
Les escrocs ont exploité les failles réglementaires
Les tactiques d'escroquerie sophistiquées se multiplient
Ce ne sont pas seulement les clients de Chase qui sont ciblés par les cybercriminels avec ces stratagèmes sophistiqués. L'été dernier, IronNet a découvert une plateforme de « phishing-as-a-service » qui vend des kits de phishing prêts à l'emploi aux cybercriminels qui ciblent les entreprises basées aux États-Unis, y compris les banques. Les kits personnalisables peuvent coûter aussi peu que 50 $ par mois et inclure du code, des graphiques et des fichiers de configuration pour ressembler à des pages de connexion bancaire.
Joey Fitzpatrick, responsable de l'analyse des menaces chez IronNet, a déclaré que même s'il ne peut pas dire avec certitude que c'est ainsi que Mullenaux a été fraudé, "l'attaque contre lui porte toutes les caractéristiques des attaquants utilisant le même type d'outils multimodaux que le phishing-as -a-plates-formes de service fournissent.
Il s'attend à ce que les offres de type « as-a-service » ne fassent que continuer à gagner du terrain, car les kits abaissent non seulement la barre pour les cybercriminels de niveau inférieur à moyen pour créer des campagnes de phishing, mais ils permettent également aux criminels de niveau supérieur de se concentrer. sur un seul domaine et développer des tactiques et des logiciels malveillants plus sophistiqués.
"Nous avons constaté une augmentation de 10 % du déploiement de kits de phishing rien qu'en janvier 2023", a déclaré Fitzpatrick.
En 2022, l'entreprise a enregistré une augmentation de 45 % des alertes et détections de phishing.
Mais ce ne sont pas seulement les stratagèmes de phishing qui se multiplient, ce sont toutes les cyberattaques. Les données de Check Point ont montré qu'en 2022, il y avait une augmentation de 52 % des cyberattaques hebdomadaires dans le secteur financier/bancaire par rapport aux attaques de 2021.
"La sophistication des cyberattaques et des stratagèmes de fraude a considérablement augmenté au cours de l'année dernière", a déclaré Sergey Shykevich, responsable du groupe de menaces chez Check Point. "Maintenant, dans de nombreux cas, les cybercriminels ne se contentent pas d'envoyer des e-mails de phishing/malveillants et d'attendre que les gens cliquent dessus, mais les combinent avec des appels téléphoniques, des attaques de fatigue MFA [multifactor authentication] et plus encore."
Les deux experts en cybersécurité ont déclaré que les banques peuvent faire plus pour éduquer les clients.
Shykevich a déclaré que les banques devraient investir dans de meilleures informations sur les menaces capables de détecter et de bloquer les méthodes utilisées par les cybercriminels. Un exemple qu'il a donné consiste à comparer une connexion à «l'empreinte digitale» numérique d'une personne, qui est basée sur des données telles que le navigateur utilisé par un compte, la résolution de l'écran ou la langue du clavier.
Meilleur conseil : raccrochez le téléphone
Source : https://www.cnbc.com/2023/02/06/phishing-as-a-service-kits-drive-uptick-in-theft-one-business-owners-story.html