Cyberprzestępcy Puste rachunki biznesowe w minutach

Przestępcy Wiedzieli, co robią, kiedy dotarli do okręgu szkolnego Western Beaver County.

Czekali, aż administratorzy szkolni wyjechali na wakacje, a następnie, w ciągu czterech dni między 29 grudnia a 2 stycznia, wypili 7044,10,35 USD z dwa z kont bankowych w okręgu szkolnym. Instytucja finansowa Western Beaver, ESB Bank, zdołała odwrócić część transferów, ale dystrykt szkolny Pensylwanii wyniósł ponad 441 000 $.

W dniu 9 lipca, Western Beaver pozwał ESB, aby spróbować odzyskać pieniądze, ale eksperci od bezpieczeństwa twierdzą, że jest to tylko jedna z wielu organizacji, które zostały dotknięte w ostatnich miesiącach przez niepokojący nowy rodzaj oszustwa finansowego, który często może pozostawić ofiarę trzymającą torbę.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Oszuści wykorzystują szeroko wykorzystywaną, ale mało znaną sieć Automated Clearing House (ACH), aby przeprowadzić ataki. Ta sieć finansowa jest wykorzystywana przez instytucje finansowe do obsługi bezpośrednich wpłat, czeków, płatności za rachunki i transferów pieniężnych między firmami i osobami fizycznymi.

W kwietniu oszuści ACH przenieśli 1,2 miliona dolarów z Sugar Land w Teksasie, importera o nazwie Unique Industrial Products, według raportu w Houston Chronicle. Zrobili to, włamując się do komputerów firmy, a następnie autoryzując 39 przelewów, aby przenieść pieniądze z konta Unique Industrial. Chociaż większość pieniędzy została odzyskana, oszuści zarobili 150 000 $ z ataku - nieźle za 30 minut pracy.

"Oszustwa ACH wciąż rosną, szczególnie w obecnej recesji gospodarczej, kiedy bezrobocie jest na bardzo wysokim poziomie", - mówi Jeffery Dertz, partner w grupie praktyków ubezpieczeniowych z Blackmanem Kallickiem, firmą doradczą z siedzibą w Chicago.

Przestępcy mogą zarabiać miliony dolarów dziennie z oszustwami ACH, mówią śledczy. I chociaż konsumenci są chronieni przed tego typu oszustwami, zasady dotyczące korporacji i organizacji nie są tak jednoznaczne, więc czasami ofiary takie jak Western Beaver muszą płacić.

Oszustwo zwykle zaczyna się od ukierunkowanej wiadomości e-mail wyłudzającej informacje, skierowane do każdego, kto jest odpowiedzialny za książeczkę czekową firmy. Oszukując ofiarę w działającym oprogramowaniu, otwierając szkodliwy załącznik lub odwiedzając złośliwą witrynę sieci Web, przestępcy mogą instalować oprogramowanie do keyloggera i kradną hasła do kont bankowych.

"Jeśli uda mi się zdobyć ich referencje, mogę trochę zabawy - powiedział Robert West, były dyrektor ds. bezpieczeństwa informacji w Fifth Third Bank, który jest obecnie dyrektorem generalnym wywiadu bezpieczeństwa Echelon One. Zgadza się, że oszustwo ACH jest narastającym problemem

Adwokat Western Beaver, Alfred Steff, odmówił komentarza dla tej historii, ale w dokumentach sądowych hrabstwo stwierdziło, że oszuści używali wirusa komputerowego do włamania się do systemu komputerowego szkoły.

Często złośliwe oprogramowanie znajduje się bezpośrednio w przeglądarce, czekając, aż ofiara zaloguje się na stronie banku, zanim zacznie działać. Następnie, gdy ofiara zaloguje się, oprogramowanie konfiguruje nowych odbiorców i przekazuje im pieniądze - po zhackowaniu kont ofiary, wszystkie potrzeby atakującego to numer rutowania i numer konta, aby wysłać pieniądze do muła pieniężnego. Jeśli dwie osoby muszą się podpisać przy transferze, hakerzy trafiają w oba.

Muły też są ofiarami. Zazwyczaj myślą, że wykonują legalne wynagrodzenie dla międzynarodowych firm. Po rekrutacji na stronach takich jak Monster.com, powiedziano im, że otrzymają prowizję w wysokości 5 procent, jeśli przeniosą pieniądze z kraju. Często, gdy bank odwraca transakcję, muszą zapłacić.

Niektórzy eksperci od bezpieczeństwa uważają, że fakt, że muły są trudne do rekrutacji, jest jedyną rzeczą, która utrzymuje ten rodzaj oszustwa w błyskawicznym tempie. Sprzedawca bezpieczeństwa Trusteer szacuje, że 3 procent konsumentów jest już zainfekowanych oprogramowaniem do oszustw finansowych. "Wąskim gardłem jest wydawanie pieniędzy z rachunków", powiedział Amit Klein, główny technolog firmy Trusteer.

Oszustwo działa częściowo, ponieważ oszukańcze działania ACH nie zawsze wywołują czerwone flagi w bankach, zwłaszcza gdy zaangażowane są mniejsze banki regionalne, według jednego z badaczy, który poprosił o nie bycie zidentyfikowanym, ponieważ pracuje nad aktywnymi sprawami. "Istnieje bardzo poważny problem" - powiedział o oszustwie ACH. "To bardzo stary system i potencjalnie nie ma wielu kontroli w podstawowym systemie transferu."

W przypadku Western Beaver, czerwone flagi powinny były zostać podniesione, kiedy zarząd szkoły nagle dodał 42 osoby do swojej listy płac w miejscach takich jak w czasie świątecznej przerwy w Kalifornii i Puerto Rico, a potem zaczął płacić im znacznie więcej niż większość ludzi na liście płac. Zgodnie z dokumentami sądowymi, ESB otrzymała 74 wnioski o przesunięcie w okresie czterech dni, kolejna czerwona flaga.

W swoim postępowaniu Western Beaver ponosi winę za niewprowadzenie "czerwonej flagi" bez upoważnienia. Rzecznik prasowy ESB nie był w stanie uzyskać komentarza.

Jednym z powodów, dla których banki mają trudności z wykryciem nieuczciwych transakcji ACH, jest to, że ilość pieniędzy przemieszczających się przez sieć jest po prostu przytłaczająca. Sieć ACH przetworzyła w 2002 r. Prawie 9 miliardów płatności, o wartości ponad 24,4 biliona dolarów. "Ostatnie kilka banków, w których pracowałem, przejdziemy przez równowartość naszych aktywów netto w ciągu kilku dni", powiedział West.

Taka forma oszustwa ACH nie jest tak rozpowszechniona, Mary Gilmeister, prezes WACHA, organizacji non-profit, która przekazuje informacje dotyczące ACH organizacjom finansowym. "To ważne, ale nie wpływa to na dużą liczbę instytucji finansowych" - powiedziała. "Powiedziała, że ​​instytucje finansowe zwracają na to większą uwagę", powiedziała komisarz. "

Dla konsumentów, którzy mają konta bankowe opróżnione przez oszustwo ACH, federalne przepisy bankowe nakładają na 50 USD, o ile oszustwo zostanie zgłoszone w odpowiednim czasie. Ale dla korporacji i innych podmiotów sprawy są o wiele bardziej skomplikowane, a to, czy ofiara musi zapłacić, może się różnić w zależności od banku.

To może poważnie osłabić zaufanie publiczne do bankowości internetowej, badacz powiedział: "Jesteśmy mówi o małych firmach, siłą napędową Stanów Zjednoczonych, które dostają pięć lub sześć cyfr, ponieważ objęły bankowość internetową. "