تعمل مجموعات "التصيد كخدمة" على زيادة معدلات السرقة: قصة أحد أصحاب الأعمال

لقد أنفقت البنوك مبالغ هائلة على الأمن السيبراني واكتشاف الاحتيال ولكن ماذا يحدث عندما تكون التكتيكات الإجرامية متطورة بما يكفي لخداع موظفي البنوك؟ 

بالنسبة إلى كودي مولينو ، كان ذلك يعني وجود أكثر من 120,000 ألف دولار سلكيًا من حساب تشيس الجاري مع أمل ضئيل في استرداد أمواله المسروقة.

بدأت ملحمة Mullenaux ، وهو صاحب شركة صغيرة يبلغ من العمر 40 عامًا من كاليفورنيا ، في 19 ديسمبر. أثناء التسوق في عيد الميلاد لابنته الصغيرة ، تلقى مكالمة من شخص يدعي أنه من قسم الاحتيال في Chase ويطلب التحقق صفقة مشبوهة.

خدمة عملاء Chase المتوافقة مع رقم 800 ، لذا لم يعتقد Mullenaux أنه كان مريبًا عندما طلب منه الشخص تسجيل الدخول إلى حسابه عبر رابط آمن تم إرساله عبر رسالة نصية لأغراض تحديد الهوية. بدا الرابط شرعيًا وبدا موقع الويب الذي تم فتحه مطابقًا لتطبيقه المصرفي Chase ، لذلك قام بتسجيل الدخول. 

قال مولينو لشبكة CNBC: "لم يخطر ببالي أبدًا أنني لم أتحدث مع ممثل تشيس الشرعي".

لقد ولت الأيام التي كان الشيء الوحيد الذي يجب على المستهلك أن يتخوف منه هو البريد الإلكتروني أو الرابط المشبوه. لقد تحولت تكتيكات مجرمي الإنترنت إلى مخططات متعددة الجوانب ، حيث يعمل العديد من المجرمين كفريق واحد لنشر تكتيكات متطورة تتضمن برامج جاهزة تُباع في مجموعات تخفي أرقام الهواتف وتحاكي صفحات تسجيل الدخول لبنك الضحية. إنه تهديد منتشر يقول خبراء الأمن السيبراني إنه يؤدي إلى زيادة النشاط. إنهم يتوقعون أن تزداد الأمور سوءًا. لسوء الحظ ، بالنسبة لضحية هذه المخططات ، لا يُطلب من البنك دائمًا سداد الأموال المسروقة.

بعد تسجيل الدخول ، قال مولينو إنه رأى مبالغ كبيرة من المال تتنقل بين حساباته. أخبره الشخص على الهاتف أن شخصًا ما كان في حسابه يحاول بنشاط سرقة أمواله وأن الطريقة الوحيدة للحفاظ عليها هي تحويل الأموال إلى مشرف البنك ، حيث سيتم الاحتفاظ بها مؤقتًا أثناء تأمين حسابه.

مرعوبًا من أن مدخراته التي حصل عليها بشق الأنفس على وشك السرقة ، قال مولينو إنه ظل على الهاتف لمدة ثلاث ساعات تقريبًا ، واتبع جميع التعليمات التي تلقاها وأجاب على أسئلة الأمان الإضافية التي سئل عنها. 

استعرضت قناة CNBC سجلات Mullenaux الخلوية ، ومعلومات الحساب المصرفي ، بالإضافة إلى صور للرسالة النصية والرابط الذي أرسله.

ما لم يكن يعرفه مولينو ، وهو مخترع ومؤسس Aquaphant ، وهي شركة تقنية تقوم بتحويل الرطوبة من الهواء إلى مياه مصفاة ، هو أن الشخص على الهاتف كان جزءًا من فريق إجرامي إلكتروني متطور.

بينما تحدث Mullenaux مع ممثل قسم الاحتيال الوهمي هذا ، كان محتال ثان ينتحل شخصية Mullenaux في مكالمة هاتفية أخرى مع Chase للسماح بالتحويلات البنكية. تم إرسال جميع الإجابات على الأسئلة الأمنية التي طُرحت على Mullenaux إلى المحتال الثاني. سمح هذا للمحتالين بتقديم الإجابات الصحيحة وإقناع موظف Chase بأنهم كانوا يتحدثون إلى صاحب الحساب.

نجحت الخدعة. بمجرد أن اقتنع موظف Chase بأن Mullenaux هو الذي طلب الإذن بالتحويلات البنكية الثلاثة ، اختفى أكثر من 120,000 دولار من حسابه المصرفي ، وعلى الرغم من بذل قصارى جهده لم يتم استرداد أي منها. 

في تصريح لـ CNBC ، أ مطاردة وقال المتحدث باسم "البنوك لن تطلب من المستهلكين أو الشركات إرسال الأموال لأنفسهم أو لأي شخص آخر لمنع الاحتيال ، ولكن المحتالين سيفعلون ذلك. لتأكيد أنك تتحدث بالفعل إلى Chase ، اتصل بالرقم الموجود على ظهر بطاقتك أو قم بزيارة أحد الفروع ".

قال مولينو إنه يشعر بالإحباط والهزيمة بسبب تجربته في محاولة استرداد الأموال المسروقة.

قال مولينو: "بغض النظر عما يفعلونه لمحاولة حماية العملاء ، فإن المحتالين دائمًا يتقدمون بخطوة واحدة" ، مضيفًا أن أمواله كانت ستكون أكثر أمانًا في صندوق الأحذية مما كانت عليه في بنك كبير يستهدفه مجرمو الإنترنت.

تنصح لجنة التجارة الفيدرالية أن أي عميل يعتقد أنه ربما أرسل أموالًا إلى المحتالين عبر تحويل إلكتروني ، يجب عليه الاتصال على الفور بالبنك الذي يتعامل معه ، والإبلاغ عن التحويل الاحتيالي والمطالبة بإلغائه.

قالت لجنة التجارة الفيدرالية لشبكة CNBC إن الوقت أمر بالغ الأهمية عند محاولة استرداد الأموال المرسلة عبر تحويل إلكتروني احتيالي. وقالت الوكالة إن الضحايا يجب عليهم أيضًا الإبلاغ عن الجريمة إلى الوكالة وكذلك مركز شكاوى جرائم الإنترنت التابع لمكتب التحقيقات الفيدرالي ، في نفس اليوم أو في اليوم التالي ، إن أمكن. 

قال مولينو إنه أدرك أن هناك خطأ ما في صباح اليوم التالي عندما لم تتم إعادة أمواله إلى حسابه.

توجه على الفور إلى فرع بنك تشيس المحلي حيث قيل له إنه من المحتمل أن يكون ضحية للاحتيال. قال مولينو إن الأمر لم يتم التعامل معه بأي شعور بالإلحاح ، ولم يتم عرض محاولة التحويل البنكي العكسي ، التي تقترح لجنة التجارة الفيدرالية أن يطلبها العملاء ، كخيار.

بدلاً من ذلك ، قال مولينو إن موظف الفرع أخبره أنه سيتلقى حزمة في البريد في غضون 10 أيام يمكنه تعبئتها لتقديم مطالبة. طلب Mullenaux الحزمة على الفور. لقد ملأها وقدمها في نفس اليوم.

تم رفض هذا الادعاء ، بالإضافة إلى مطالبة ثانية قدمتها شركة Mullenaux إلى السلطة التنفيذية. قال الموظفون الذين يحققون في الأمر إن شركة Mullenaux قد اتصلت بالموافقة على التحويلات البرقية.

زودت قناة سي إن بي سي تشيس بسجلات الهاتف الخلوي الخاصة بمولينو والتي أظهرت أنه لم يجرِ أي مكالمات هاتفية صادرة إلى تشيس في اليوم المعني. تشير السجلات أيضًا ، عند مقارنتها بسجلات التحويل الإلكتروني ، إلى أنه لا يمكن أن يكون Mullenaux هو الذي اتصل بشيس للسماح بالتحويلات البرقية لأن الثلاثة مرخصون ومرروا بينما كان Mullenaux لا يزال على الهاتف مع المحتالين.

ومع ذلك ، فإن هذا لم يغير قرار البنك ، ومرة ​​أخرى ، تم رفض مطالبة Mullenaux لأنه شارك معلوماته الخاصة مع المجرمين.

وسواء أدرك المحتالون أنهم كانوا يفعلون ذلك أم لا ، فقد نجحوا في استغلال ثغرتين في تشريعات حماية المستهلك الحالية مما أدى إلى عدم مطالبة Chase باستبدال أموال Mullenaux المسروقة. من الناحية القانونية ، لا يتعين على البنوك سداد الأموال المسروقة عندما يتم خداع العميل لإرسال الأموال إلى مجرمي الإنترنت.

ومع ذلك ، بموجب قانون تحويل الأموال الإلكتروني ، الذي يغطي معظم أنواع المعاملات الإلكترونية مثل المدفوعات من نظير إلى نظير والمدفوعات أو التحويلات عبر الإنترنت ، يتعين على البنوك سداد المبالغ للعملاء عند سرقة الأموال دون أن يصرح بها العميل. لسوء الحظ ، لا يشمل القانون التحويلات البنكية ، التي تتضمن تحويل الأموال من بنك إلى آخر ، والذي يستبعد أيضًا الاحتيال الذي يشمل الشيكات الورقية والبطاقات المدفوعة مسبقًا.

قام مجرمو الإنترنت أيضًا بتحويل الأموال من حسابات التوفير والحسابات الشخصية لمولينو إلى حسابه التجاري قبل بدء التحويلات البرقية. اللائحة E ، المصممة لمساعدة المستهلكين على استعادة أموالهم من معاملة غير مصرح بها ، تحمي فقط الأفراد ، وليس حسابات الأعمال.

وقال ممثل عن تشيس إن التحقيق جار حيث يحاول البنك استعادة الأموال المسروقة.

هذا شيء يقول مولينو إنه يصلي من أجله. "أدعو الله أن تتم تسوية هذه المأساة بطريقة ما ، وأن ترى إدارة [البنك] ما حدث لي ويتم إرجاع أموالي".

قدم مولينو أيضًا تقارير إلى الشرطة المحلية ومركز شكاوى جرائم الإنترنت التابع لمكتب التحقيقات الفيدرالي ، لكن لم يتصل به أي منهما بشأن قضيته.

لا يقتصر استهداف مجرمي الإنترنت على عملاء تشيس بهذه المخططات المعقدة. في الصيف الماضي ، تم الكشف عن موقع IronNet منصة "التصيد كخدمة" تبيع مجموعات التصيد الاحتيالي الجاهزة لمجرمي الإنترنت الذين يستهدفون الشركات التي تتخذ من الولايات المتحدة مقراً لها ، بما في ذلك البنوك. يمكن أن تكلف المجموعات القابلة للتخصيص ما لا يقل عن 50 دولارًا أمريكيًا شهريًا وتتضمن تعليمات برمجية ورسومات وملفات تكوين لتشبه صفحات تسجيل الدخول البنكية.

قال جوي فيتزباتريك ، مدير تحليل التهديدات في IronNet ، إنه بينما لا يستطيع الجزم بأن هذه هي الطريقة التي تم بها الاحتيال على Mullenaux ، "يحمل الهجوم ضده جميع السمات المميزة للمهاجمين الذين يستخدمون نفس النوع من الأدوات متعددة الوسائط التي يستخدمها التصيد الاحتيالي توفر منصات الخدمة. "

ويتوقع أن تستمر العروض من نوع "كخدمة" في اكتساب قوة جذب لأن المجموعات لا تخفض فقط مستوى مجرمي الإنترنت من المستوى المنخفض إلى المتوسط ​​لإنشاء حملات التصيد الاحتيالي ، ولكنها تتيح أيضًا للمجرمين ذوي المستوى الأعلى التركيز في منطقة واحدة وتطوير تكتيكات وبرامج ضارة أكثر تعقيدًا.

قال فيتزباتريك: "لقد شهدنا زيادة بنسبة 10٪ في نشر مجموعات التصيد في يناير 2023 وحده".

في عام 2022 ، شهدت الشركة زيادة بنسبة 45٪ في تنبيهات واكتشافات التصيد الاحتيالي.

لكنها ليست مجرد مخططات تصيد في ازدياد ، إنها هجمات إلكترونية كلها. أظهرت بيانات من Check Point في عام 2022 أن هناك زيادة بنسبة 52٪ في الهجمات الإلكترونية الأسبوعية على القطاع المالي / المصرفي مقارنة بهجمات عام 2021.

قال سيرجي شيكيفيتش ، مدير مجموعة التهديدات في Check Point: "لقد زاد تعقيد الهجمات الإلكترونية وخطط الاحتيال بشكل كبير خلال العام الماضي". "الآن ، في كثير من الحالات ، لا يعتمد مجرمو الإنترنت فقط على إرسال رسائل بريد إلكتروني خادعة / ضارة وانتظار قيام الأشخاص بالنقر فوقها ، ولكن يقومون بدمجها مع المكالمات الهاتفية ، وهجمات التعب (المصادقة متعددة العوامل) MFA والمزيد."

قال خبيرا الأمن السيبراني إن البنوك يمكنها فعل المزيد لتثقيف العملاء. 

وقال شيكيفيتش إن البنوك يجب أن تستثمر في استخبارات تهديدات أفضل يمكنها اكتشاف ومنع الأساليب التي يستخدمها مجرمو الإنترنت. أحد الأمثلة التي قدمها هو مقارنة تسجيل الدخول بـ "بصمة الإصبع" الرقمية لشخص ما ، والتي تستند إلى بيانات مثل المتصفح الذي يستخدمه الحساب أو دقة الشاشة أو لغة لوحة المفاتيح.

كان هناك شيء واحد اتفق عليه كل من تشيس والوكالات الفيدرالية وخبراء الأمن السيبراني: إذا تلقى العميل مكالمة هاتفية من بنكه وبدأ الشخص في طلب المعلومات ، فقم بإنهاء المكالمة واتصل بالبنك بنفسك.

"إذا تلقى المستهلك مكالمة أو رسالة نصية أو بريدًا إلكترونيًا فجأة من أي شخص يدعي أنه من البنك الذي يتعامل معه ، لتنبيهه بوجود مشكلة ، فيجب على المستهلك إنهاء المكالمة (أو حذف النص / البريد الإلكتروني وعدم النقر على الروابط) وحاول الاتصال بمصرفهم على رقم هاتف يعرفون أنه حقيقي "، قال متحدث باسم FTC.

يتمتع مجرمو الإنترنت بالقدرة على انتحال هوية المتصل وقد يستخدمون المعلومات الشخصية المسروقة لخداع الضحية لتسليم الأموال.

يرجى إرسال نصائح بالبريد الإلكتروني إلى [البريد الإلكتروني محمي]