Kits de 'phishing como serviço' aumentam o número de roubos: a história de um empresário

Os bancos gastaram enormes quantias em segurança cibernética e detecção de fraudes, mas o que acontece quando as táticas criminosas são sofisticadas o suficiente para enganar os funcionários do banco? 

Para Cody Mullenaux, isso significava ter mais de $ 120,000 transferidos de sua conta corrente do Chase com pouca esperança de recuperar seus fundos roubados.

A saga de Mullenaux, um pequeno empresário de 40 anos da Califórnia, começou em 19 de dezembro. Enquanto fazia as compras de Natal para sua filha, ele recebeu uma ligação de uma pessoa que dizia ser do departamento de fraudes do Chase e pedindo para verificar uma transação suspeita.

O número 800 correspondia ao atendimento ao cliente do Chase, então Mullenaux não achou suspeito quando a pessoa pediu que ele fizesse login em sua conta por meio de um link seguro enviado por mensagem de texto para fins de identificação. O link parecia legítimo e o site que abriu parecia idêntico ao seu aplicativo bancário Chase, então ele se conectou. 

“Nunca passou pela minha cabeça que eu não estava falando com um representante legítimo do Chase”, disse Mullenaux à CNBC.

Foi-se o tempo em que a única coisa com a qual o consumidor tinha que se preocupar era um e-mail ou link suspeito. As táticas dos cibercriminosos se transformaram em esquemas multifacetados, com vários criminosos atuando como uma equipe para implantar táticas sofisticadas envolvendo software pronto vendido em kits que mascaram números de telefone e imitam páginas de login do banco da vítima. É uma ameaça generalizada que, segundo especialistas em segurança cibernética, está gerando um aumento na atividade. Eles preveem que só vai piorar. Infelizmente, para as vítimas desses esquemas, o banco nem sempre é obrigado a reembolsar os fundos roubados.

Depois de fazer login, Mullenaux disse que viu grandes quantias de dinheiro movendo-se entre suas contas. A pessoa ao telefone disse a ele que alguém estava em sua conta tentando ativamente roubar seu dinheiro e que a única maneira de mantê-lo seguro era transferir dinheiro para o supervisor do banco, onde seria temporariamente retido enquanto eles protegiam sua conta.

Com medo de que suas economias suadas estivessem prestes a ser roubadas, Mullenaux disse que ficou ao telefone por quase três horas, seguiu todas as instruções que recebeu e respondeu a perguntas de segurança adicionais que lhe foram feitas. 

A CNBC revisou os registros de celular de Mullenaux, as informações da conta bancária, bem como as imagens da mensagem de texto e o link que ele recebeu.

O que Mullenaux, que é o inventor e fundador da Aquaphant, uma empresa de tecnologia que converte a umidade do ar em água filtrada, não sabia era que a pessoa ao telefone fazia parte de uma sofisticada equipe de cibercriminosos.

Enquanto Mullenaux falava com esse falso representante do departamento de fraudes, um segundo golpista estava se passando por Mullenaux em outro telefonema com Chase para autorizar as transferências eletrônicas. Todas as respostas às perguntas de segurança feitas a Mullenaux foram então fornecidas ao segundo golpista. Isso permitiu que os fraudadores fornecessem as respostas corretas e convencessem o funcionário do Chase de que estavam falando com o titular da conta.

A farsa funcionou. Assim que o funcionário do Chase se convenceu de que foi Mullenaux quem ligou para autorizar as três transferências eletrônicas, mais de $ 120,000 desapareceram de sua conta bancária e, apesar de seus melhores esforços, nada foi recuperado. 

Em uma declaração à CNBC, um perseguição O porta-voz disse: “Os bancos nunca pedirão aos consumidores ou empresas que enviem dinheiro para si mesmos ou para qualquer outra pessoa para evitar fraudes, mas os golpistas o farão. Para confirmar que você está realmente falando com o Chase, ligue para o número no verso do seu cartão ou visite uma agência.”

Mullenaux disse que se sente frustrado e derrotado por sua experiência tentando recuperar seus fundos roubados.

“Não importa o que eles façam para tentar proteger os clientes, os golpistas estão sempre um passo à frente”, disse Mullenaux, acrescentando que seu dinheiro estaria mais seguro em uma caixa de sapatos do que em um grande banco visado pelos cibercriminosos.

A Comissão Federal de Comércio aconselha que qualquer cliente que pense ter enviado dinheiro para golpistas por meio de transferência eletrônica deve entrar em contato imediatamente com o banco, relatar a transferência fraudulenta e solicitar que ela seja revertida.

O tempo é crítico ao tentar recuperar fundos enviados por meio de transferência eletrônica fraudulenta, disse a FTC à CNBC. A agência disse que as vítimas também devem denunciar o crime à agência, bem como ao Centro de Reclamações de Crimes na Internet do FBI, no mesmo dia ou no dia seguinte, se possível. 

Mullenaux disse que percebeu que algo estava errado na manhã seguinte, quando seus fundos não foram devolvidos à sua conta.

Ele imediatamente dirigiu até a agência local do banco Chase, onde foi informado de que provavelmente havia sido vítima de fraude. Mullenaux disse que o assunto não foi tratado com nenhum senso de urgência, e uma tentativa de transferência eletrônica reversa, que a FTC sugere que os clientes solicitem, não foi oferecida como uma opção.

Em vez disso, Mullenaux disse que o funcionário da filial lhe disse que receberia um pacote pelo correio dentro de 10 dias que poderia preencher para registrar uma reclamação. Mullenaux pediu o pacote imediatamente. Ele preencheu e entregou no mesmo dia.

Essa reivindicação, juntamente com uma segunda que Mullenaux apresentou ao poder executivo, foi negada. Os funcionários que investigam o assunto disseram que Mullenaux ligou para autorizar as transferências eletrônicas.

A CNBC forneceu a Chase os registros do telefone celular de Mullenaux, que mostravam que ele nunca fez nenhuma ligação para Chase no dia em questão. Os registros também sugerem, quando comparados com os registros de transferência eletrônica, que não poderia ter sido Mullenaux quem ligou para Chase para autorizar as transferências eletrônicas porque todos os três foram autorizados e passaram enquanto Mullenaux ainda estava ao telefone com os golpistas.

No entanto, isso não mudou a decisão do banco e, novamente, a reclamação de Mullenaux foi negada por ele ter compartilhado suas informações privadas com os criminosos.

Quer os golpistas percebessem que estavam fazendo isso ou não, eles exploraram com sucesso duas brechas na atual legislação de proteção ao consumidor que resultaram na não necessidade de Chase de repor os fundos roubados de Mullenaux. Legalmente, os bancos não precisam reembolsar fundos roubados quando um cliente é induzido a enviar dinheiro a um cibercriminoso.

No entanto, sob a Lei de Transferência Eletrônica de Fundos, que cobre a maioria dos tipos de transações eletrônicas, como pagamentos ponto a ponto e pagamentos ou transferências online, os bancos são obrigados a reembolsar os clientes quando os fundos são roubados sem a autorização do cliente. Infelizmente, as transferências eletrônicas, que envolvem a transferência de dinheiro de um banco para outro, não são cobertas pela lei, que também exclui fraudes envolvendo cheques de papel e cartões pré-pagos.

Os cibercriminosos também transferiram fundos das contas correntes e de poupança pessoais de Mullenaux para sua conta comercial antes de iniciar as transferências eletrônicas. O Regulamento E, projetado para ajudar os consumidores a recuperar seu dinheiro de uma transação não autorizada, protege apenas indivíduos, não contas comerciais.

Um representante do Chase disse que a investigação está em andamento enquanto o banco tenta recuperar os fundos roubados.

Isso é algo pelo qual Mullenaux diz estar orando. “Rezo para que essa tragédia seja de alguma forma reconciliada, que a administração [do banco] veja o que aconteceu comigo e meu dinheiro seja devolvido.”

Mullenaux também apresentou relatórios à polícia local e ao Centro de Reclamações de Crimes na Internet do FBI, mas nenhum deles o contatou sobre o caso.

Não são apenas os clientes do Chase que estão sendo alvo de cibercriminosos com esses esquemas sofisticados. No verão passado, a IronNet descobriu uma plataforma de “phishing como serviço” que vende kits de phishing prontos para cibercriminosos que visam empresas sediadas nos Estados Unidos, incluindo bancos. Os kits personalizáveis ​​podem custar apenas US$ 50 por mês e incluem código, gráficos e arquivos de configuração que lembram as páginas de login do banco.

Joey Fitzpatrick, gerente de análise de ameaças da IronNet, disse que, embora não possa dizer com certeza se foi assim que Mullenaux foi fraudado, “o ataque contra ele carrega todas as características de invasores que utilizam o mesmo tipo de ferramentas multimodais que o phishing - como -a-service fornecem.”

Ele espera que as ofertas do tipo “as-a-service” continuem a ganhar força, pois os kits não apenas diminuem a barreira para os cibercriminosos de nível baixo a médio criarem campanhas de phishing, mas também permitem que os criminosos de nível superior se concentrem em uma única área e desenvolver táticas e malware mais sofisticados.

“Observamos um aumento de 10% na implantação de kits de phishing apenas em janeiro de 2023”, disse Fitzpatrick.

Em 2022, a empresa observou um aumento de 45% em alertas e detecções de phishing.

Mas não são apenas os esquemas de phishing em ascensão, são todos os ataques cibernéticos. Dados da Check Point mostraram que em 2022 houve um aumento de 52% nos ataques cibernéticos semanais no setor financeiro/bancário em comparação com os ataques em 2021.

“A sofisticação dos ataques cibernéticos e esquemas de fraude aumentou significativamente durante o ano passado”, disse Sergey Shykevich, gerente do grupo de ameaças da Check Point. “Agora, em muitos casos, os cibercriminosos não confiam apenas no envio de e-mails de phishing/maliciosos e na espera que as pessoas cliquem neles, mas combinam isso com chamadas telefônicas, ataques de fadiga MFA [autenticação multifator] e muito mais.”

Ambos os especialistas em segurança cibernética disseram que os bancos podem fazer mais para educar os clientes. 

Shykevich disse que os bancos devem investir em uma melhor inteligência de ameaças que possa detectar e bloquear os métodos usados ​​pelos cibercriminosos. Um exemplo que ele deu é comparar um login com a “impressão digital” digital de uma pessoa, que é baseada em dados como o navegador que uma conta usa, resolução de tela ou idioma do teclado.

Havia uma coisa em que Chase, agências federais e especialistas em segurança cibernética concordavam: se um cliente receber um telefonema de seu banco e a pessoa começar a pedir informações, desligue e ligue de volta para o banco.

“Se um consumidor receber uma ligação, mensagem de texto ou e-mail do nada de alguém alegando ser de seu banco, alertando-o sobre um problema, o consumidor deve desligar (ou deletar o texto/e-mail e não clicar nos links) e tente ligar para o banco deles em um número de telefone que eles saibam ser real”, disse um porta-voz da FTC.

Os cibercriminosos têm a capacidade de falsificar o identificador de chamadas e podem usar informações pessoais roubadas para induzir a vítima a entregar dinheiro.

Envie dicas por e-mail para [email protegido]