ערכות 'דיוג כשירות' גורמות לעלייה בגניבות: סיפורו של בעל עסק אחד

בנקים הוציאו סכומים אדירים על אבטחת סייבר ואיתור הונאה, אבל מה קורה כאשר טקטיקות פליליות מתוחכמות מספיק כדי לשטות אפילו בעובדי הבנק? 

עבור קודי מולנו, פירוש הדבר היה להעביר יותר מ-120,000 דולר מחשבון הצ'ייס שלו עם תקווה קטנה להחזיר את הכספים הגנובים שלו.

הסאגה של מולנו, בעל עסק קטן בן 40 מקליפורניה, החלה ב-19 בדצמבר. בזמן קניות חג המולד עבור בתו הצעירה, הוא קיבל טלפון מאדם שטען שהוא ממחלקת ההונאה של צ'ייס וביקש לאמת עסקה חשודה.

מספר ה-800 התאים לשירות הלקוחות של צ'ייס ולכן מולנו לא חשב שזה חשוד כאשר האדם ביקש ממנו להיכנס לחשבון שלו באמצעות קישור מאובטח שנשלח בהודעת טקסט לצורכי זיהוי. הקישור נראה לגיטימי והאתר שנפתח נראה זהה לאפליקציית הבנקאות Chase שלו, אז הוא התחבר. 

"אף פעם לא עבר לי בראש שלא דיברתי עם נציג לגיטימי של צ'ייס", אמר מולנו ל-CNBC.

חלפו הימים שבהם הדבר היחיד שצרכן היה צריך להיזהר ממנו הוא מייל או קישור חשודים. הטקטיקות של פושעי הסייבר השתנו לתוכניות מרובות, כאשר מספר פושעים פועלים כצוות לפריסת טקטיקות מתוחכמות הכוללות תוכנה מוכנה שנמכרת בערכות המסתירות מספרי טלפון ומדמות דפי כניסה של בנק של קורבן. זהו איום נרחב שלדברי מומחי אבטחת סייבר גורם לעלייה בפעילות. הם צופים שזה רק יחמיר. למרבה הצער, עבור קורבן של תוכניות אלה, הבנק לא תמיד נדרש להחזיר את הכספים הגנובים.

לאחר שנכנס, מולנו אמר שראה כמויות גדולות של כסף נעים בין חשבונותיו. האדם בטלפון אמר לו שמישהו נמצא בחשבונו ומנסה לגנוב את כספו ושהדרך היחידה לשמור עליו היא להעביר כסף למפקח על הבנק, שם זה יוחזק זמנית בזמן שהם יאבטחו את חשבונו.

מבועת שחסכונותיו שהרוויחו קשה עומדים להיגנב, אמר מולנו שהוא נשאר בטלפון במשך כמעט שלוש שעות, פעל לפי כל ההנחיות שקיבל וענה על שאלות אבטחה נוספות שנשאל. 

CNBC בחנה את הרישומים הסלולריים של מולנו, פרטי חשבון הבנק, כמו גם תמונות של הודעת הטקסט והקישור שהוא נשלח.

מה שמולנו, שהוא הממציא והמייסד של Aquaphant, חברת טכנולוגיה שממירה לחות מהאוויר למים מסוננים, לא ידע הוא שהאדם בטלפון היה חלק מצוות פושעי סייבר מתוחכם.

בזמן שמולנו דיבר עם נציג מחלקת ההונאה המזויף הזה, רמאי שני התחזה למולנו בשיחת טלפון נוספת עם צ'ייס כדי לאשר את ההעברות הבנקאיות. כל התשובות לשאלות האבטחה שנשאל מולנו הועברו אז לרמאי השני. זה אפשר לרמאים לספק את התשובות הנכונות ולשכנע את עובד צ'ייס שהם מדברים עם בעל החשבון.

המתיחה עבדה. ברגע שעובד צ'ייס היה משוכנע שמולנו הוא זה שהתקשר לאשר את שלוש ההעברות הבנקאיות, מעל 120,000 דולר נעלמו מחשבון הבנק שלו ולמרות כל מאמציו אף אחד מהם לא הוחזר. 

בהצהרה ל-CNBC, א צ'ייס הדובר אמר, "בנקים לעולם לא יבקשו מצרכנים או עסקים לשלוח כסף לעצמם או לכל אחד אחר כדי למנוע הונאה, אבל הרמאים יבקשו. כדי לוודא שאתה באמת מדבר עם צ'ייס, התקשר למספר שבגב הכרטיס שלך או בקר בסניף."

מולנו אמר שהוא מרגיש מתוסכל ומובס על הניסיון שלו בניסיון לגבות את הכספים הגנובים שלו.

"לא משנה מה הם עושים כדי לנסות ולהגן על הלקוחות, הרמאים תמיד צעד אחד קדימה", אמר מולנו, והוסיף שהכסף שלו היה בטוח יותר בקופסת נעליים מאשר בבנק גדול שאליו פושעי סייבר מכוונים.

ועדת הסחר הפדרלית מייעצת שכל לקוח שחושב שייתכן ששלח כסף לרמאים באמצעות העברה בנקאית צריך לפנות מיד לבנק שלו, לדווח על ההעברה המרמה ולבקש לבטל אותה.

הזמן הוא קריטי כאשר מנסים לשחזר כספים שנשלחו באמצעות העברה בנקאית הונאה, אמר ה-FTC ל-CNBC. הסוכנות אמרה כי על הקורבנות גם לדווח על הפשע לסוכנות וכן למרכז התלונות על פשיעה באינטרנט של ה-FBI, באותו היום או למחרת, אם אפשר. 

מולנו אמר שהוא הבין שמשהו לא בסדר למחרת בבוקר כשהכספים שלו לא הוחזרו לחשבונו.

הוא נסע מיד לסניף בנק צ'ייס המקומי שלו, שם נאמר לו שהוא כנראה קורבן להונאה. מולנו אמר שהעניין לא טופל בשום תחושת דחיפות, וניסיון העברה בנקאית הפוכה, שה-FTC מציע ללקוחות לבקש, לא הוצע כאופציה.

במקום זאת, מולנו אמר שעובד הסניף אמר לו שהוא יקבל חבילה בדואר תוך 10 ימים שיוכל למלא כדי להגיש תביעה. מולנו ביקש את החבילה מיד. הוא מילא אותו והגיש אותו באותו יום.

תביעה זו, יחד עם תביעה שנייה שהגיש מולנו לרשות המבצעת, נדחו. העובדים שבדקו את הנושא אמרו שמלונו התקשר לאשר את ההעברות בנקאיות.

CNBC סיפקה לצ'ייס את רישומי הטלפון הסלולרי של מולנו שהראו שהוא מעולם לא ביצע שיחות טלפון יוצאות לצ'ייס ביום המדובר. הרישומים גם מעידים, בהשוואה לרישומי ההעברה הבנקאית, שלא יכול היה להיות זה מולנו שהתקשר לצ'ייס כדי לאשר את ההעברות הבנקאיות, כי שלושתם היו מורשים ועברו בזמן שמלונו עדיין שיחקה בטלפון עם הרמאים.

עם זאת, זה לא שינה את החלטת הבנק ושוב, תביעתו של מולנו נדחתה מאחר ששיתף את המידע הפרטי שלו עם הפושעים.

בין אם הרמאים הבינו שהם עושים את זה או לא, הם ניצלו בהצלחה שתי פרצות בחקיקה הנוכחית להגנת הצרכן שהביאו לכך שצ'ייס לא נדרש להחליף את הכספים הגנובים של מולנו. מבחינה חוקית, בנקים לא צריכים להחזיר כספים גנובים כאשר מרמים לקוח לשלוח כסף לעבריין סייבר.

עם זאת, על פי חוק העברת הכספים האלקטרונית, המכסה את רוב סוגי העסקאות האלקטרוניות כמו תשלומים עמית לעמית ותשלומים או העברות מקוונות, הבנקים נדרשים להחזיר ללקוחות כאשר כספים נגנבים מבלי שהלקוח אישר זאת. למרבה הצער, העברות בנקאיות, הכרוכות בהעברת כסף מבנק אחד למשנהו, אינן מכוסות במסגרת החוק, אשר אינו כולל גם הונאה הכרוכה בהמחאות נייר וכרטיסים משולמים מראש.

פושעי הסייבר גם העבירו כספים מחשבונות הצ'קים והחיסכון האישיים של מולנו לחשבון העסקי שלו לפני תחילת ההעברות הבנקאיות. תקנה E, שנועדה לעזור לצרכנים לקבל את כספם בחזרה מעסקה לא מורשית, מגנה רק על יחידים, לא על חשבונות עסקיים.

נציג של צ'ייס אמר כי החקירה נמשכת כשהבנק מנסה לגבות את הכספים הגנובים.

זה משהו שמולו אומר שהוא מתפלל לו. "אני מתפלל שהטרגדיה הזו תתיישב איכשהו, שהנהלת [בנק] תראה מה קרה לי והכסף שלי יוחזר".

מולנו גם הגיש דוחות למשטרה המקומית ולמרכז התלונות על פשיעה באינטרנט של ה-FBI, אך אף אחד מהם לא יצר עמו קשר בעניין המקרה שלו.

לא רק לקוחות צ'ייס ממוקדים על ידי פושעי סייבר עם התוכניות המתוחכמות הללו. בקיץ האחרון, IronNet חשפה פלטפורמת "דיוג כשירות". שמוכרת ערכות דיוג מוכנות לפושעי סייבר המכוונים לחברות בארה"ב, כולל בנקים. הערכות הניתנות להתאמה יכולות לעלות רק 50$ לחודש וכוללות קוד, גרפיקה וקבצי תצורה כדי להידמות לדפי התחברות של הבנק.

ג'ואי פיצפטריק, מנהל ניתוח איומים ב-IronNet, אמר כי למרות שהוא לא יכול לומר בוודאות שזאת הדרך בה הונה מולנו, "המתקפה נגדו נושאת את כל הסממנים של תוקפים הממנפים את אותו סוג של כלים מולטי-מודאליים ש-Phishing-as פלטפורמות שירות מספקות."

הוא מצפה שההצעות מסוג "כשירות" רק ימשיכו לצבור אחיזה מכיוון שהערכות לא רק מורידות את הרף עבור פושעי סייבר ברמה נמוכה עד בינונית ליצור קמפיינים דיוגים, אלא הן גם מאפשרות לפושעים מהדרג הגבוה יותר להתמקד. על אזור יחיד ולפתח טקטיקות ותוכנות זדוניות מתוחכמות יותר.

"ראינו עלייה של 10% בפריסה של ערכות דיוג בינואר 2023 בלבד", אמר פיצפטריק.

בשנת 2022, החברה ראתה עלייה של 45% בהתראות וזיהויים של דיוג.

אבל זה לא רק תוכניות דיוג בעלייה, זה הכל התקפות סייבר. נתונים מצ'ק פוינט הראו ב-2022 עלייה של 52% במתקפות הסייבר השבועיות על מגזר הפיננסים/בנקאות בהשוואה למתקפות ב-2021.

"התחכום של מתקפות סייבר ותוכניות הונאה גדל באופן משמעותי במהלך השנה האחרונה", אמר סרגיי שיקביץ', מנהל קבוצת האיומים בצ'ק פוינט. "כעת, במקרים רבים פושעי סייבר לא מסתמכים רק על שליחת דיוג/מיילים זדוניים והמתנה שהאנשים ילחצו עליו, אלא משלבים זאת עם שיחות טלפון, התקפות עייפות של MFA [אימות מרובה גורמים] ועוד."

שני מומחי אבטחת הסייבר אמרו שהבנקים יכולים לעשות יותר כדי לחנך את הלקוחות. 

שיקביץ' אמר שהבנקים צריכים להשקיע במודיעין איומים טוב יותר שיכול לזהות ולחסום שיטות שבהן פושעי סייבר משתמשים. דוגמה שהוא נתן היא השוואת כניסה ל"טביעת אצבע" דיגיטלית של אדם, המבוססת על נתונים כמו הדפדפן שבו משתמש החשבון, רזולוציית המסך או שפת המקלדת.

היה דבר אחד שצ'ייס, סוכנויות פדרליות ומומחי אבטחת סייבר היו כולם הסכימו עליו: אם לקוח מקבל שיחת טלפון מהבנק שלו והאדם מתחיל לבקש מידע, נתק את השיחה והתקשר בחזרה לבנק בעצמך.

"אם צרכן מקבל שיחה, הודעת טקסט או דוא"ל באופן חד פעמי מכל מי שטוען שהוא מהבנק שלו, המתריע על בעיה, הצרכן צריך לנתק (או למחוק את הטקסט/אימייל ולא ללחוץ על קישורים) ונסו להתקשר לבנק שלהם במספר טלפון שהם יודעים שהוא אמיתי", אמר דובר FTC.

לפושעי סייבר יש את היכולת לזייף זיהוי מתקשר והם עשויים להשתמש במידע אישי גנוב כדי להערים על קורבן למסור כסף.

אנא שלח טיפים בדוא"ל [מוגן בדוא"ל]