Cody Mullenaux e sua família. Mullenaux foi vítima de um sofisticado esquema de fraude eletrônica que resultou no roubo de US$ 120,000
Cortesia: Cody Mullenaux
Os bancos gastaram enormes quantias em segurança cibernética e detecção de fraudes, mas o que acontece quando as táticas criminosas são sofisticadas o suficiente para enganar os funcionários do banco?
Para Cody Mullenaux, isso significava ter mais de $ 120,000 transferidos de sua conta corrente do Chase com pouca esperança de recuperar seus fundos roubados.
A saga de Mullenaux, um pequeno empresário de 40 anos da Califórnia, começou em 19 de dezembro. Enquanto fazia as compras de Natal para sua filha, ele recebeu uma ligação de uma pessoa que dizia ser do departamento de fraudes do Chase e pedindo para verificar uma transação suspeita.
O número 800 correspondia ao atendimento ao cliente do Chase, então Mullenaux não achou suspeito quando a pessoa pediu que ele fizesse login em sua conta por meio de um link seguro enviado por mensagem de texto para fins de identificação. O link parecia legítimo e o site que abriu parecia idêntico ao seu aplicativo bancário Chase, então ele se conectou.
“Nunca passou pela minha cabeça que eu não estava falando com um representante legítimo do Chase”, disse Mullenaux à CNBC.
Foi-se o tempo em que a única coisa com a qual o consumidor tinha que se preocupar era um e-mail ou link suspeito. As táticas dos cibercriminosos se transformaram em esquemas multifacetados, com vários criminosos atuando como uma equipe para implantar táticas sofisticadas envolvendo software pronto vendido em kits que mascaram números de telefone e imitam páginas de login do banco da vítima. É uma ameaça generalizada que, segundo especialistas em segurança cibernética, está gerando um aumento na atividade. Eles preveem que só vai piorar. Infelizmente, para as vítimas desses esquemas, o banco nem sempre é obrigado a reembolsar os fundos roubados.
Depois de fazer login, Mullenaux disse que viu grandes quantias de dinheiro movendo-se entre suas contas. A pessoa ao telefone disse a ele que alguém estava em sua conta tentando ativamente roubar seu dinheiro e que a única maneira de mantê-lo seguro era transferir dinheiro para o supervisor do banco, onde seria temporariamente retido enquanto eles protegiam sua conta.
Com medo de que suas economias suadas estivessem prestes a ser roubadas, Mullenaux disse que ficou ao telefone por quase três horas, seguiu todas as instruções que recebeu e respondeu a perguntas de segurança adicionais que lhe foram feitas.
A CNBC revisou os registros de celular de Mullenaux, as informações da conta bancária, bem como as imagens da mensagem de texto e o link que ele recebeu.
Uma equipe de golpistas
Em uma declaração à CNBC, um perseguição O porta-voz disse: “Os bancos nunca pedirão aos consumidores ou empresas que enviem dinheiro para si mesmos ou para qualquer outra pessoa para evitar fraudes, mas os golpistas o farão. Para confirmar que você está realmente falando com o Chase, ligue para o número no verso do seu cartão ou visite uma agência.”
Cody Mullenaux, o inventor e fundador da Aquaphant, uma empresa de tecnologia que converte a umidade do ar em água filtrada, com sua equipe e família.
Cortesia: Cody Mullenaux
Pouco recurso para vítimas de fraudes eletrônicas
Golpistas exploraram brechas regulatórias
Táticas sofisticadas de fraude em ascensão
Não são apenas os clientes do Chase que estão sendo alvo de cibercriminosos com esses esquemas sofisticados. No verão passado, a IronNet descobriu uma plataforma de “phishing como serviço” que vende kits de phishing prontos para cibercriminosos que visam empresas sediadas nos Estados Unidos, incluindo bancos. Os kits personalizáveis podem custar apenas US$ 50 por mês e incluem código, gráficos e arquivos de configuração que lembram as páginas de login do banco.
Joey Fitzpatrick, gerente de análise de ameaças da IronNet, disse que, embora não possa dizer com certeza se foi assim que Mullenaux foi fraudado, “o ataque contra ele carrega todas as características de invasores que utilizam o mesmo tipo de ferramentas multimodais que o phishing - como -a-service fornecem.”
Ele espera que as ofertas do tipo “as-a-service” continuem a ganhar força, pois os kits não apenas diminuem a barreira para os cibercriminosos de nível baixo a médio criarem campanhas de phishing, mas também permitem que os criminosos de nível superior se concentrem em uma única área e desenvolver táticas e malware mais sofisticados.
“Observamos um aumento de 10% na implantação de kits de phishing apenas em janeiro de 2023”, disse Fitzpatrick.
Em 2022, a empresa observou um aumento de 45% em alertas e detecções de phishing.
Mas não são apenas os esquemas de phishing em ascensão, são todos os ataques cibernéticos. Dados da Check Point mostraram que em 2022 houve um aumento de 52% nos ataques cibernéticos semanais no setor financeiro/bancário em comparação com os ataques em 2021.
“A sofisticação dos ataques cibernéticos e esquemas de fraude aumentou significativamente durante o ano passado”, disse Sergey Shykevich, gerente do grupo de ameaças da Check Point. “Agora, em muitos casos, os cibercriminosos não confiam apenas no envio de e-mails de phishing/maliciosos e na espera que as pessoas cliquem neles, mas combinam isso com chamadas telefônicas, ataques de fadiga MFA [autenticação multifator] e muito mais.”
Ambos os especialistas em segurança cibernética disseram que os bancos podem fazer mais para educar os clientes.
Shykevich disse que os bancos devem investir em uma melhor inteligência de ameaças que possa detectar e bloquear os métodos usados pelos cibercriminosos. Um exemplo que ele deu é comparar um login com a “impressão digital” digital de uma pessoa, que é baseada em dados como o navegador que uma conta usa, resolução de tela ou idioma do teclado.
Melhor conselho: desligue o telefone
Fonte: https://www.cnbc.com/2023/02/06/phishing-as-a-service-kits-drive-uptick-in-theft-one-business-owners-story.html