科迪·穆雷诺和他的家人。Mullenaux是一个复杂的电信诈骗计划的受害者,该计划已导致12万美元被盗
银行在网络安全和欺诈检测上投入了大量资金,但当犯罪手段复杂到甚至可以欺骗银行员工时,会发生什么呢?
对科迪·穆勒诺(Cody Mullenaux)来说,这意味着从他的草莓樱桃丝瓜绿巨人秋葵破解下载大通银行(Chase)支票账户中汇出超过12万美元,而且几乎没有希望追回被盗资金。
Mullenaux是一名来自加州的40岁小企业主,他的传奇故事始于12月19日。在给年幼的女儿买圣诞礼物时,他接到了一个自称来自大通银行欺诈部门的人打来的电话,要求核实一笔可疑交易。
这个800号码与大通银行的客户服务相符,所以当这个人要求他通过短信发送的安全链接登录他的账户时,穆雷诺并不认为这是可疑的。这个链接看起来是合法的,打开的网站看起来和他的大通银行应用程序一模一样,所以他登录了。
Mullenaux对CNBC表示:“我从未想过,我在和一位合法的大通银行代表交谈。”
消费者唯一需要警惕的是可疑的电子邮件或链接的日子已经一去不复返了。网络犯罪分子的策略已经演变成多管齐下的计划,多名犯罪分子组成一个团队,采用复杂的策略,包括以套装形式出售的现成软件,这些软件会掩盖电话号码,并模拟受害者银行的登录页面。网络安全专家说,这是一个普遍存在的威胁,正在推动网络活动的增加。他们预测情况只会变得更糟。不幸的是,对于这些骗局的受害者,银行并不总是被要求偿还被盗资金。
穆雷诺说,登录后,他看到大量资金在他的账户之间流动。电话里的人告诉他,有人在他的账户里试图偷他的钱,唯一能保证安全的办法就是把钱汇给银行监管人员,在他们保护他的账户时,钱会暂时存放在那里。
Mullenaux说,他害怕自己辛苦赚来的积蓄会被偷大地影院韩国日本,他在电话上呆了近三个小时,按照他得到的所有指示,并回答了他被问到的额外安全问题。
CNBC已经查看了穆雷诺的手机记录、银行账户信息,以及发送给他的短信图片和链接。
穆勒诺是Aquaphant公司的发明者和创始人,该公司是一家将空气中的水分转化为过滤水的技术公司。他不知道的是,打电话的人是一个复杂的网络犯罪团队的成员。
当穆雷诺和这个冒牌的诈骗部门代表通话时,另一个骗子正在冒充穆雷诺与大通银行通另一个电话,授权电汇。Mullenaux被问到的所有安全问题的答案都被提供给了第二个骗子。这使得欺诈者能够提供正确的答案,并使大通银行的员工相信他们是在与账户持有人交谈。
骗局成功了。一旦大通银行的员工确信是穆雷诺打电话授权了三笔电汇,他的银行账户上就消失了12万多美元,尽管他尽了最大的努力,但这些钱都没有找回来。
一位发言人在给CNBC的一份声明中说:“银行永远不会要求消费者或企业给自己或其他人汇款以防止欺诈,但骗子会。要确认你真的是在和大通银行通话,请拨打信用卡背面的电话号码或前往分支机构。”
科迪·穆勒诺(Cody Mullenaux)是Aquaphant公司的发明者和创始人,该公司是一家将空气中的水分转化为过滤水的技术公司。
图片来源:Cody Mullenaux
麻豆果冻传媒在线观看穆勒诺说,他对自己试图追回被盗资金的经历感到沮丧和挫败。
穆勒诺说:“无论他们采取什么措施来保护客户,骗子总是领先一步。”他补充说,他的钱放在鞋盒里要比放在网络罪犯瞄准的大银行里更安全。
美国联邦贸易委员会建议,任何认为自己可能通过电汇把钱汇给骗子的客户都应立即联系他们的银行,报告欺诈性转账,并要求撤销。
FTC对CNBC表示,在试图追回通过欺诈性电汇发送的资金时,时间至关重要。该机构表示,受害者也应该向该机构以及联邦调查局的互联网犯罪投诉中心报告犯罪行为,如果可能的话,当天或第二天。
穆勒诺说,第二天早上,他发现自己的资金没有退回到账户上,这让他意识到问题出在哪里。
他立即开车去当地的大通银行分行,在那里他被告知他可能是欺诈的受害者。穆勒诺说,这件事没有得到任何紧迫感的处理,联邦贸易委员会建议客户要求的反向电汇尝试也没有作为一种选择。
穆勒诺说,这家分公司的员工告诉他,他将在10天内收到一个包裹,他可以填写这个包裹提出索赔。穆勒诺立刻要了那个包。他当天就填好并提交了。
这一说法,以及穆雷诺向行政部门提交的第二份声明,都被否认了。调查此事的员工称,穆雷诺曾打电话授权电汇。
科迪·穆雷诺和他的女儿。当时Mullenaux正在给女儿买圣诞礼物,突然接到一个假扮大通银行欺诈部门员工的男子打来的电话。
图片来源:Cody Mullenaux
CNBC向蔡斯提供了穆雷诺的手机通话记录,显示他在事发当天从未给蔡斯打过任何电话。这些记录还表明,与电汇记录相比,不可能是穆勒诺打电话给大通授权电汇,因为这三笔汇款都是在穆勒诺还在与骗子通话时被授权并通过的。
然而,这并没有改变银行的决定,Mullenaux的说法再次被否认,因为他已经与犯罪分子分享了他的私人信息。
无论诈骗者是否意识到他们在做这件事,他们成功地利用了现行消费者保护立法中的两个漏洞,这两个漏洞导致大通银行不需要替换Mullenaux被盗的资金。从法律上讲,当客户被骗向网络罪犯汇款时,银行不必偿还被盗资金。
然而,根据《电子资金转移法案》(该法案涵盖了大多数类型的电子交易,如点对点支付和在线支付或转账),如果资金在未经客户授权的情况下被盗,银行必须偿还客户。不幸的是,涉及将资金从一家银行转移到另一家银行的电汇不受该法案的保护,该法案也不包括涉及纸质支票和预付卡的欺诈行为。
在开始电汇之前,网络罪犯还将资金从Mullenaux的个人支票和储蓄账户转移到他的商业账户。E条例旨在帮助消费者从未经授权的交易中取回资金,但它只保护个人,而不是企业账户。
大通银行的一名代表说,调查正在进行中,该行正试图追回被盗资金。
穆雷诺说,这是他正在祈祷的。“我祈祷这场悲剧能以某种方式和解,(银行)管理层能看到发生在我身上的事情,把我的钱还给我。”
Mullenaux还向当地警方和联邦调查局的网络犯罪投诉中心提交了报告,但他们都没有就他的案件联系他。
网络犯罪分子利用这些复杂的计划盯上的不只是大通银行的客户。去年夏天,IronNet发现了一个“网络钓鱼即服务”(phishing-as-a-service)平台,该平台向网络犯罪分子出售现成的网络钓鱼工具包,这些网络犯罪分子以美国公司(包括银行)为目标。可定制的工具包每月只需50美元,包括类似银行登录页面的代码、图形和配置文件。
IronNet的威胁分析经理乔伊·菲茨帕特里克(Joey Fitzpatrick)说,虽然他不能肯定这就是Mullenaux被骗的原因,但“针对他的攻击具有攻击者利用网络钓鱼即服务平台提供的多模式工具的所有特征。”
他预计,“即服务”类型的产品只会继续获得吸引力,因为这些套件不仅降低了中低级别网络犯罪分子发起网络钓鱼活动的门槛,而且还使高级犯罪分子能够专注于单一领域,开发更复杂的战术和恶意软件。
菲茨帕特里克说:“仅在2023年1月,我们就看到网络钓鱼工具包的部署增加了10%。”
在2022年,该公司发现网络钓鱼警报和检测增加了45%。
但不仅仅是网络钓鱼骗局在增加,所有的网络攻击都在增加。Check Point的数据显示,与2021年相比,2022年针对金融/银行业的每周网络攻击增加了52%。
“去年,网络攻击和欺诈计划的复杂程度显著提高,”Check Point的威胁小组经理谢尔盖·夏克维奇(Sergey Shykevich)说。“现在,在许多情况下,网络犯罪分子不仅仅依靠发送网络钓鱼/恶意电子邮件并等待人们点击它,而是将其与电话、MFA(多因素身份验证)疲劳攻击等结合起来。”
两位网络安全专家都表示,银行在教育客户方面可以做得更多。
Shykevich说,银行应该投资于更好的威胁情报,可以发现和阻止网络犯罪分子使用的方法。他举了一个例子,将登录信息与一个人的数字“指纹”进行比较,后者基于账户使用的浏览器、屏幕分辨率或键盘语言等数据。
大通银行、联邦机构和网络安全专家在一件事上达成了一致:如果客户接到银行打来的电话,对方开始询问信息,请挂断电话,自己给银行回电话。
美国联邦贸易委员会的一位发言人说:“如果消费者突然接到自称来自他们银行的人打来的电话、短信或电子邮件,提醒他们有问题,消费者应该挂断电话(或删除短信/电子邮件,不要点击链接),试着用一个他们知道是真的电话号码给他们的银行打电话。”
网络犯罪分子有能力欺骗来电显示,他们可能会使用窃取的个人信息来诱骗受害者交出金钱。
请将技巧二发邮件至investigations@cnbc.com
