ชุดอุปกรณ์ 'ฟิชชิงเสมือนบริการ' ช่วยเพิ่มการโจรกรรม: เรื่องราวของเจ้าของธุรกิจรายหนึ่ง

ธนาคารใช้เงินจำนวนมหาศาลในการรักษาความปลอดภัยทางไซเบอร์และการตรวจจับการฉ้อโกง แต่จะเกิดอะไรขึ้นเมื่อกลวิธีทางอาญาซับซ้อนพอที่จะหลอกพนักงานธนาคารได้ 

สำหรับ Cody Mullenaux นั่นหมายถึงการโอนเงินมากกว่า 120,000 ดอลลาร์จากบัญชีเช็ค Chase ของเขาโดยแทบไม่มีหวังที่จะได้เงินที่ถูกขโมยไปคืน

ตำนานของ Mullenaux เจ้าของธุรกิจขนาดเล็กวัย 40 ปีจากแคลิฟอร์เนีย เริ่มขึ้นเมื่อวันที่ 19 ธันวาคม ขณะซื้อของคริสต์มาสให้ลูกสาวตัวน้อย เขาได้รับโทรศัพท์จากบุคคลที่อ้างตัวว่ามาจากแผนกฉ้อฉลของ Chase และขอให้ตรวจสอบ การทำธุรกรรมที่น่าสงสัย

หมายเลข 800 ตรงกับฝ่ายบริการลูกค้าของ Chase ดังนั้น Mullenaux จึงไม่คิดว่ามันน่าสงสัยเมื่อบุคคลนั้นขอให้เขาลงชื่อเข้าใช้บัญชีของเขาผ่านลิงก์ที่ปลอดภัยซึ่งส่งมาทางข้อความเพื่อวัตถุประสงค์ในการระบุตัวตน ลิงก์นั้นดูถูกต้องและเว็บไซต์ที่เปิดก็เหมือนกับแอป Chase Banking ของเขา ดังนั้นเขาจึงเข้าสู่ระบบ 

“ผมไม่เคยคิดเลยด้วยซ้ำว่าผมไม่ได้พูดคุยกับตัวแทนเชสที่ถูกต้องตามกฎหมาย” มูลเลโนซ์บอกกับซีเอ็นบีซี

หมดยุคที่สิ่งเดียวที่ผู้บริโภคต้องระวังคืออีเมลหรือลิงก์ที่น่าสงสัย กลวิธีของอาชญากรไซเบอร์ได้แปรเปลี่ยนไปเป็นแผนหลายรูปแบบ โดยอาชญากรหลายคนทำงานเป็นทีมเพื่อปรับใช้กลวิธีที่ซับซ้อนเกี่ยวกับซอฟต์แวร์สำเร็จรูปที่ขายในชุดอุปกรณ์ที่ปกปิดหมายเลขโทรศัพท์และเลียนแบบหน้าเข้าสู่ระบบของธนาคารของเหยื่อ เป็นภัยคุกคามที่แพร่หลายซึ่งผู้เชี่ยวชาญด้านความปลอดภัยในโลกไซเบอร์กล่าวว่ากำลังผลักดันกิจกรรมให้เพิ่มขึ้น พวกเขาคาดการณ์ว่ามันจะเลวร้ายลงเท่านั้น น่าเสียดายที่ผู้ที่ตกเป็นเหยื่อของแผนการเหล่านี้ ธนาคารไม่จำเป็นต้องชดใช้เงินที่ถูกขโมยเสมอไป

หลังจากที่เขาเข้าสู่ระบบ Mullenaux กล่าวว่าเขาเห็นเงินจำนวนมากเคลื่อนไหวไปมาระหว่างบัญชีของเขา คนในโทรศัพท์บอกเขาว่ามีคนในบัญชีของเขาพยายามขโมยเงินของเขา และวิธีเดียวที่จะรักษาเงินให้ปลอดภัยได้คือการโอนเงินไปยังผู้ดูแลธนาคาร ซึ่งเงินจะถูกระงับไว้ชั่วคราวในขณะที่พวกเขารักษาความปลอดภัยในบัญชีของเขา

ด้วยความหวาดกลัวว่าเงินออมที่หามาอย่างยากลำบากของเขากำลังจะถูกขโมย มูลเลโนซ์กล่าวว่าเขาใช้โทรศัพท์เป็นเวลาเกือบ XNUMX ชั่วโมง ทำตามคำแนะนำทั้งหมดที่ได้รับและตอบคำถามเพื่อความปลอดภัยเพิ่มเติมที่เขาถูกถาม 

CNBC ได้ตรวจสอบบันทึกโทรศัพท์มือถือของ Mullenaux ข้อมูลบัญชีธนาคาร ตลอดจนรูปภาพของข้อความและลิงก์ที่เขาส่งมา

สิ่งที่ Mullenaux ผู้ประดิษฐ์และผู้ก่อตั้ง Aquaphant บริษัทเทคโนโลยีที่เปลี่ยนความชื้นจากอากาศเป็นน้ำกรองไม่รู้ว่าคนในโทรศัพท์นั้นเป็นส่วนหนึ่งของทีมอาชญากรไซเบอร์ที่มีความซับซ้อน

ในขณะที่ Mullenaux พูดคุยกับตัวแทนแผนกฉ้อโกงปลอมนี้ นักต้มตุ๋นคนที่สองก็ปลอมตัวเป็น Mullenaux ในการโทรศัพท์อีกครั้งกับ Chase เพื่ออนุญาตการโอนเงินผ่านธนาคาร คำตอบทั้งหมดของคำถามเพื่อความปลอดภัยที่ Mullenaux ถูกถามนั้นจะถูกส่งไปยังนักต้มตุ๋นคนที่สอง สิ่งนี้ทำให้มิจฉาชีพสามารถให้คำตอบที่ถูกต้องและโน้มน้าวพนักงานของ Chase ว่าพวกเขากำลังพูดคุยกับเจ้าของบัญชี

การหลอกลวงได้ผล เมื่อพนักงานของ Chase มั่นใจว่าเป็น Mullenaux ที่โทรมาเพื่ออนุญาตการโอนเงินผ่านธนาคารทั้ง 120,000 ครั้ง เงินกว่า XNUMX ดอลลาร์ก็หายไปจากบัญชีธนาคารของเขา 

ในแถลงการณ์ถึง CNBC ก การไล่ล่า โฆษกกล่าวว่า "ธนาคารจะไม่ขอให้ผู้บริโภคหรือธุรกิจส่งเงินให้ตัวเองหรือใครก็ตามเพื่อป้องกันการฉ้อโกง แต่นักต้มตุ๋นจะทำเช่นนั้น เพื่อยืนยันว่าคุณกำลังคุยกับ Chase จริงๆ ให้โทรไปที่หมายเลขด้านหลังบัตรหรือไปที่สาขา”

Mullenaux กล่าวว่าเขารู้สึกผิดหวังและพ่ายแพ้เกี่ยวกับประสบการณ์ในการพยายามกู้คืนเงินที่ถูกขโมยไป

“ไม่ว่าพวกเขาจะทำอะไรเพื่อปกป้องลูกค้า พวกสแกมเมอร์ก็นำหน้าไปหนึ่งก้าวเสมอ” มูลเลโนซ์กล่าว พร้อมเสริมว่าเงินของเขาน่าจะปลอดภัยกว่าในกล่องรองเท้ามากกว่าในธนาคารขนาดใหญ่ที่อาชญากรไซเบอร์กำลังพุ่งเป้า

Federal Trade Commission แนะนำว่าลูกค้ารายใดก็ตามที่คิดว่าพวกเขาอาจส่งเงินให้กับนักต้มตุ๋นผ่านการโอนเงินผ่านธนาคาร ควรติดต่อธนาคารทันที รายงานการโอนเงินที่เป็นการฉ้อโกง และขอให้มีการย้อนกลับ

เวลาเป็นสิ่งสำคัญเมื่อพยายามกู้คืนเงินที่ส่งผ่านการโอนเงินผ่านธนาคารที่ฉ้อโกง FTC กล่าวกับ CNBC หน่วยงานกล่าวว่าผู้ที่ตกเป็นเหยื่อควรรายงานอาชญากรรมต่อหน่วยงานเช่นเดียวกับศูนย์รับเรื่องร้องเรียนอาชญากรรมทางอินเทอร์เน็ตของ FBI ในวันเดียวกันหรือวันถัดไป หากเป็นไปได้ 

Mullenaux กล่าวว่าเขาตระหนักว่ามีบางอย่างผิดปกติในเช้าวันรุ่งขึ้น เมื่อเงินของเขาไม่ถูกส่งกลับเข้าบัญชีของเขา

เขารีบขับรถไปที่สาขาธนาคาร Chase ในพื้นที่ของเขาทันที ซึ่งเขาได้รับแจ้งว่าเขาน่าจะเป็นเหยื่อของการฉ้อโกง Mullenaux กล่าวว่าเรื่องนี้ไม่ได้รับการจัดการด้วยความเร่งด่วนใดๆ และการพยายามโอนเงินแบบย้อนกลับซึ่ง FTC แนะนำให้ลูกค้าร้องขอนั้นไม่ได้เสนอเป็นตัวเลือก

แต่ Mullenaux กล่าวว่าพนักงานสาขาบอกเขาว่าเขาจะได้รับแพ็คเก็ตทางไปรษณีย์ภายใน 10 วัน ซึ่งเขาสามารถกรอกเพื่อยื่นคำร้องได้ มุลเลโนขอแพ็คเก็ตทันที เขากรอกและส่งในวันเดียวกัน

ข้อเรียกร้องนั้นพร้อมกับข้อที่สองที่ Mullenaux ยื่นต่อฝ่ายบริหารถูกปฏิเสธ พนักงานที่สอบสวนเรื่องนี้กล่าวว่า Mullenaux ได้โทรมาเพื่ออนุญาตการโอนเงินผ่านธนาคาร

CNBC ให้ข้อมูลโทรศัพท์มือถือของ Chase กับ Mullenaux ซึ่งแสดงว่าเขาไม่เคยโทรออกใดๆ ถึง Chase ในวันที่มีปัญหา บันทึกยังแนะนำเมื่อเปรียบเทียบกับบันทึกการโอนเงินว่า Mullenaux ไม่สามารถโทรหา Chase เพื่ออนุญาตการโอนเงินได้เนื่องจากทั้งสามคนได้รับอนุญาตและดำเนินการผ่านขณะที่ Mullenaux ยังคุยโทรศัพท์อยู่กับพวกสแกมเมอร์

อย่างไรก็ตาม นั่นไม่ได้เปลี่ยนการตัดสินใจของธนาคาร และก็เป็นอีกครั้งที่คำกล่าวอ้างของ Mullenaux ถูกปฏิเสธ เนื่องจากเขาได้แบ่งปันข้อมูลส่วนตัวของเขากับอาชญากร

ไม่ว่าสแกมเมอร์จะรู้ตัวหรือไม่ก็ตาม พวกเขาใช้ช่องโหว่ XNUMX ข้อในกฎหมายคุ้มครองผู้บริโภคฉบับปัจจุบันได้สำเร็จ ซึ่งส่งผลให้เชสไม่ต้องชดใช้เงินที่ขโมยไปของมูลเลโนซ์ ตามกฎหมายแล้ว ธนาคารไม่จำเป็นต้องคืนเงินที่ถูกขโมยไปเมื่อลูกค้าถูกหลอกให้ส่งเงินให้กับอาชญากรไซเบอร์

อย่างไรก็ตาม ภายใต้พระราชบัญญัติการโอนเงินทางอิเล็กทรอนิกส์ ซึ่งครอบคลุมธุรกรรมทางอิเล็กทรอนิกส์ส่วนใหญ่ เช่น การชำระเงินแบบ peer-to-peer และการชำระเงินหรือการโอนเงินออนไลน์ ธนาคารจำเป็นต้องชำระคืนลูกค้าเมื่อเงินถูกขโมยโดยที่ลูกค้าไม่ได้อนุญาต น่าเสียดายที่การโอนเงินผ่านธนาคารซึ่งเกี่ยวข้องกับการโอนเงินจากธนาคารหนึ่งไปยังอีกธนาคารหนึ่งไม่อยู่ภายใต้กฎหมายนี้ ซึ่งไม่รวมการฉ้อโกงที่เกี่ยวข้องกับเช็คกระดาษและบัตรเติมเงิน

อาชญากรไซเบอร์ยังได้โอนเงินจากบัญชีเช็คส่วนตัวและบัญชีออมทรัพย์ของ Mullenaux ไปยังบัญชีธุรกิจของเขาก่อนที่จะเริ่มการโอนเงิน กฎระเบียบ E ซึ่งออกแบบมาเพื่อช่วยให้ผู้บริโภคได้รับเงินคืนจากธุรกรรมที่ไม่ได้รับอนุญาต ปกป้องเฉพาะบุคคล ไม่ใช่บัญชีธุรกิจ

ตัวแทนของ Chase กล่าวว่าการสืบสวนยังดำเนินอยู่ในขณะที่ธนาคารพยายามกู้คืนเงินที่ถูกขโมย

นั่นคือสิ่งที่ Mullenaux บอกว่าเขากำลังอธิษฐานขอ “ฉันภาวนาให้โศกนาฏกรรมครั้งนี้กลับมาคืนดีกัน ขอให้ผู้บริหาร [ธนาคาร] เห็นว่าเกิดอะไรขึ้นกับฉันและเงินของฉันจะถูกส่งคืน”

มูลเลโนยังยื่นรายงานต่อตำรวจท้องที่และศูนย์รับเรื่องร้องเรียนอาชญากรรมทางอินเทอร์เน็ตของเอฟบีไอ แต่ก็ไม่มีใครติดต่อเขาเกี่ยวกับคดีของเขา

ไม่ใช่แค่ลูกค้าของ Chase เท่านั้นที่ตกเป็นเป้าหมายของอาชญากรไซเบอร์ด้วยแผนการที่ซับซ้อนเหล่านี้ ฤดูร้อนที่ผ่านมา IronNet เปิดเผย แพลตฟอร์ม “ฟิชชิ่งในฐานะผู้ให้บริการ” ที่ขายชุดฟิชชิ่งสำเร็จรูปให้กับอาชญากรไซเบอร์ที่กำหนดเป้าหมายบริษัทในสหรัฐฯ รวมถึงธนาคารด้วย ชุดคิทที่ปรับแต่งได้อาจมีราคาเพียง $50 ต่อเดือน และรวมรหัส กราฟิก และไฟล์การกำหนดค่าเพื่อให้คล้ายกับหน้าเข้าสู่ระบบของธนาคาร

Joey Fitzpatrick ผู้จัดการฝ่ายวิเคราะห์ภัยคุกคามของ IronNet กล่าวว่า แม้ว่าเขาจะไม่สามารถบอกได้อย่างแน่ชัดว่า Mullenaux ถูกฉ้อโกงด้วยวิธีนี้อย่างไร “การโจมตีต่อเขามีลักษณะเด่นทั้งหมดของผู้โจมตีที่ใช้ประโยชน์จากเครื่องมือหลายรูปแบบแบบเดียวกับฟิชชิง -a-service platforms ให้”

เขาคาดว่าข้อเสนอประเภท "as-a-service" จะยังคงได้รับแรงผลักดันอย่างต่อเนื่อง เนื่องจากชุดเครื่องมือนี้ไม่เพียงแต่ลดมาตรฐานสำหรับอาชญากรไซเบอร์ระดับต่ำถึงกลางในการสร้างแคมเปญฟิชชิงเท่านั้น แต่ยังช่วยให้อาชญากรระดับสูงสามารถโฟกัสได้ ในพื้นที่เดียวและพัฒนากลยุทธ์และมัลแวร์ที่ซับซ้อนยิ่งขึ้น

“เราเห็นการติดตั้งฟิชชิ่งคิตเพิ่มขึ้น 10% ในเดือนมกราคม 2023 เพียงเดือนเดียว” Fitzpatrick กล่าว

ในปี 2022 บริษัทเห็นการแจ้งเตือนและการตรวจจับฟิชชิ่งเพิ่มขึ้น 45%

แต่ไม่ใช่แค่แผนฟิชชิ่งที่เพิ่มขึ้น แต่เป็นการโจมตีทางไซเบอร์ทั้งหมด ข้อมูลจาก Check Point แสดงให้เห็นว่าในปี 2022 มีการโจมตีทางไซเบอร์ในภาคการเงิน/การธนาคารเพิ่มขึ้น 52% ต่อสัปดาห์ เมื่อเทียบกับการโจมตีในปี 2021

“ความซับซ้อนของการโจมตีทางไซเบอร์และแผนการฉ้อโกงเพิ่มขึ้นอย่างมากในช่วงปีที่ผ่านมา” Sergey Shykevich ผู้จัดการกลุ่มภัยคุกคามของ Check Point กล่าว “ตอนนี้ ในหลายกรณี อาชญากรไซเบอร์ไม่ได้พึ่งพาเพียงการส่งอีเมลฟิชชิ่ง/ที่เป็นอันตรายและรอให้ผู้คนคลิกเท่านั้น แต่ยังรวมเข้ากับการโทรศัพท์ การโจมตีด้วย MFA [การตรวจสอบหลายปัจจัย] และอีกมากมาย”

ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ทั้งสองกล่าวว่าธนาคารสามารถดำเนินการเพิ่มเติมเพื่อให้ความรู้แก่ลูกค้า 

Shykevich กล่าวว่าธนาคารต่างๆ ควรลงทุนในข่าวกรองภัยคุกคามที่ดีกว่า ซึ่งสามารถตรวจจับและบล็อกวิธีการที่อาชญากรไซเบอร์ใช้ ตัวอย่างที่เขายกตัวอย่างคือการเปรียบเทียบการเข้าสู่ระบบกับ "ลายนิ้วมือ" ดิจิทัลของบุคคล ซึ่งอิงตามข้อมูล เช่น เบราว์เซอร์ที่บัญชีใช้ ความละเอียดหน้าจอ หรือภาษาของแป้นพิมพ์

มีสิ่งหนึ่งที่เชส หน่วยงานรัฐบาลกลาง และผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์เห็นพ้องต้องกัน: หากลูกค้าได้รับโทรศัพท์จากธนาคารและบุคคลนั้นเริ่มสอบถามข้อมูล ให้วางสายและโทรกลับธนาคารด้วยตัวเอง

“หากผู้บริโภคได้รับโทรศัพท์ ข้อความหรืออีเมลจากใครก็ตามที่อ้างว่ามาจากธนาคารของพวกเขา แจ้งเตือนพวกเขาถึงปัญหา ผู้บริโภคควรวางสาย (หรือลบข้อความ/อีเมลและอย่าคลิกลิงก์) และลองโทรหาธนาคารโดยใช้หมายเลขโทรศัพท์ที่พวกเขารู้ว่าเป็นของจริง” โฆษกของ FTC กล่าว

อาชญากรไซเบอร์มีความสามารถในการปลอมแปลงหมายเลขผู้โทรและอาจใช้ข้อมูลส่วนบุคคลที่ขโมยมาเพื่อหลอกล่อเหยื่อให้โอนเงิน

กรุณาส่งอีเมล์เคล็ดลับ [ป้องกันอีเมล]