'서비스형 피싱(Phishing-as-a-Service)' 키트로 도난 증가: 한 비즈니스 소유자의 이야기

은행은 사이버 보안 및 사기 탐지에 막대한 비용을 지출했지만 은행 직원도 속일 수 있을 만큼 범죄 전술이 정교해지면 어떻게 될까요? 

Cody Mullenaux에게 그것은 도난당한 자금을 되찾을 희망이 거의 없이 Chase 당좌 계좌에서 120,000달러 이상을 이체하는 것을 의미했습니다.

캘리포니아 출신의 40세 중소기업 소유주인 Mullenaux의 사가는 19월 XNUMX일에 시작되었습니다. 어린 딸을 위해 크리스마스 쇼핑을 하던 중 그는 Chase 사기 부서에서 왔다고 주장하며 확인을 요청하는 사람으로부터 전화를 받았습니다. 수상한 거래.

800개의 번호가 Chase 고객 서비스와 일치했기 때문에 Mullenaux는 그 사람이 신원 확인을 위해 문자 메시지로 전송된 보안 링크를 통해 자신의 계정에 로그인하라고 요청했을 때 그것이 의심스럽다고 생각하지 않았습니다. 링크가 합법적인 것처럼 보였고 열린 웹사이트가 그의 Chase 은행 앱과 동일하게 보였기 때문에 그는 로그인했습니다. 

Mullenaux는 CNBC에 "내가 합법적인 Chase 대표와 이야기하고 있지 않다는 생각조차 하지 않았습니다."라고 말했습니다.

소비자가 의심스러운 이메일이나 링크만 조심해야 했던 시대는 지났습니다. 사이버 범죄자의 전술은 전화 번호를 숨기고 피해자 은행의 로그인 페이지를 모방하는 키트로 판매되는 기성 소프트웨어와 관련된 정교한 전술을 전개하기 위해 여러 범죄자가 한 팀으로 활동하는 다면적인 계획으로 변모했습니다. 사이버 보안 전문가들은 활동이 증가하고 있다고 말하는 만연한 위협입니다. 그들은 상황이 악화될 것이라고 예측합니다. 불행하게도 이러한 계획의 피해자인 경우 은행이 도난당한 자금을 항상 상환해야 하는 것은 아닙니다.

Mullenaux는 로그인한 후 계정 간에 많은 돈이 이동하는 것을 보았다고 말했습니다. 전화를 받은 사람은 누군가가 자신의 계좌에 적극적으로 돈을 훔치려 하고 있으며 돈을 안전하게 보관하는 유일한 방법은 은행 감독관에게 돈을 송금하는 것뿐이라고 말했습니다.

멀레노는 힘들게 번 돈이 도둑맞을까 봐 겁에 질려 거의 XNUMX시간 동안 전화를 끊지 않고 지시를 모두 따랐으며 추가 보안 질문에 답했다고 말했습니다. 

CNBC는 Mullenaux의 휴대폰 기록, 은행 계좌 정보, 그가 보낸 문자 메시지 및 링크의 이미지를 검토했습니다.

공기 중의 수분을 여과된 물로 변환하는 기술 회사인 Aquaphant의 발명가이자 창립자인 Mullenaux는 통화 중인 사람이 정교한 사이버 범죄 팀의 일원이라는 사실을 몰랐습니다.

Mullenaux가 이 가짜 사기 부서 담당자와 이야기하는 동안 두 번째 사기꾼이 전신 송금을 승인하기 위해 Chase와의 또 다른 전화 통화에서 Mullenaux를 사칭했습니다. Mullenaux가 요청한 보안 질문에 대한 모든 답변은 두 번째 사기꾼에게 제공되었습니다. 이를 통해 사기꾼은 정확한 답변을 제공하고 Chase 직원이 계정 소유자에게 말하고 있다고 확신할 수 있었습니다.

사기가 작동했습니다. Chase 직원이 세 번의 전신 송금을 승인하기 위해 전화한 사람이 Mullenaux라고 확신하자 그의 은행 계좌에서 $120,000 이상이 사라졌고 그의 최선의 노력에도 불구하고 그 중 어느 것도 회수되지 않았습니다. 

CNBC에 대한 성명서에서 추적 은행 대변인은 “은행은 소비자나 기업에게 사기를 방지하기 위해 자신이나 다른 사람에게 돈을 보내달라고 요청하지 않지만 사기꾼은 그렇게 할 것입니다. 실제로 Chase와 통화하고 있는지 확인하려면 카드 뒷면에 있는 번호로 전화를 걸거나 지점을 방문하세요.”

Mullenaux는 도난당한 자금을 되찾기 위해 노력한 경험에 대해 좌절감과 좌절감을 느낀다고 말했습니다.

Mullenaux는 “고객을 보호하기 위해 무엇을 하든 사기꾼은 항상 한 발 앞서 있습니다.

연방거래위원회는 전신 송금을 통해 사기꾼에게 돈을 보냈다고 생각하는 모든 고객은 즉시 은행에 연락하여 사기 송금을 신고하고 취소를 요청해야 한다고 조언합니다.

FTC는 CNBC에 사기성 전신 송금을 통해 송금된 자금을 회수하려고 할 때 시간이 매우 중요하다고 말했습니다. FBI는 피해자들이 가능하면 당일이나 익일 FBI 인터넷범죄신고센터와 함께 범죄 신고를 해야 한다고 말했다. 

Mullenaux는 다음날 아침 자신의 자금이 자신의 계좌로 반환되지 않았을 때 무언가 잘못되었음을 깨달았다고 말했습니다.

그는 즉시 지역 체이스 은행 지점으로 차를 몰고 가 그곳에서 사기를 당했을 가능성이 높다는 말을 들었습니다. Mullenaux는 이 문제가 긴박감 없이 처리되지 않았으며 FTC가 고객이 요청하도록 제안한 역 전신 송금 시도는 옵션으로 제공되지 않았다고 말했습니다.

대신 Mullenaux는 지점 직원이 청구서를 제출하기 위해 작성할 수 있는 패킷을 10일 이내에 우편으로 받을 것이라고 말했다고 말했습니다. Mullenaux는 즉시 패킷을 요청했습니다. 그는 그것을 작성하고 같은 날 제출했습니다.

그 주장은 행정부에 제기된 두 번째 Mullenaux와 함께 거부되었습니다. 이 문제를 조사하는 직원들은 Mullenaux가 전신 송금을 승인하기 위해 전화를 걸었다고 말했습니다.

CNBC는 체이스에게 문제의 날 체이스에게 전화를 한 적이 없다는 것을 보여주는 멀레노의 휴대전화 기록을 체이스에게 제공했다. 기록은 또한 전신 송금 기록과 비교할 때 전신 송금을 승인하기 위해 Chase에 전화한 사람이 Mullenaux일 수 없음을 시사합니다. 왜냐하면 Mullenaux가 사기꾼과 여전히 통화하는 동안 세 사람 모두 승인되고 처리되었기 때문입니다.

그러나 그것은 은행의 결정을 바꾸지 않았으며 Mullenaux의 주장은 그가 자신의 개인 정보를 범죄자들과 공유했기 때문에 거부되었습니다.

사기꾼들이 자신들이 그런 일을 하고 있다는 사실을 인지했는지 여부에 관계없이 그들은 현재 소비자 보호법의 두 가지 허점을 성공적으로 악용하여 Chase가 Mullenaux의 훔친 자금을 대체할 필요가 없게 되었습니다. 법적으로 은행은 고객이 사이버 범죄자에게 돈을 보내도록 속인 경우 훔친 자금을 상환할 필요가 없습니다.

그러나 PXNUMXP 결제, 온라인 결제 또는 이체와 같은 대부분의 전자 거래 유형에 적용되는 전자 자금 이체법에 따라 은행은 고객의 승인 없이 자금을 도난당한 경우 고객에게 상환해야 합니다. 안타깝게도 한 은행에서 다른 은행으로 돈을 이체하는 전신 송금은 이 법의 적용을 받지 않으며 종이 수표 및 선불 카드와 관련된 사기도 제외됩니다.

사이버 범죄자들은 ​​전신 송금을 시작하기 전에 Mullenaux의 개인 당좌예금 및 저축예금 계좌에서 그의 비즈니스 계좌로 자금을 이체하기도 했습니다. 소비자가 승인되지 않은 거래로부터 돈을 돌려받을 수 있도록 설계된 규정 E는 비즈니스 계정이 아닌 개인만 보호합니다.

체이스의 대변인은 은행이 도난당한 자금을 회수하려고 시도하면서 조사가 진행 중이라고 말했다.

그것은 Mullenaux가 기도하고 있다고 말하는 것입니다. “이 비극이 어떻게든 화해하고 [은행] 경영진이 나에게 일어난 일을 보고 내 돈이 반환되기를 기도합니다.”

Mullenaux는 또한 지역 경찰과 FBI의 인터넷 범죄 신고 센터에 보고서를 제출했지만 어느 쪽도 그의 사건에 대해 그에게 연락하지 않았습니다.

이러한 정교한 수법을 사용하는 사이버 범죄자의 표적이 되는 것은 체이스 고객만이 아닙니다. 지난 여름, IronNet은 "서비스로서의 피싱" 플랫폼 은행을 포함한 미국 기반 회사를 ​​대상으로 하는 사이버 범죄자에게 기성품 피싱 키트를 판매합니다. 맞춤형 키트는 월 $50 정도의 비용이 들 수 있으며 은행 로그인 페이지와 유사한 코드, 그래픽 및 구성 파일을 포함합니다.

IronNet의 위협 분석 관리자인 Joey Fitzpatrick은 이것이 Mullenaux가 사기를 당한 방식이라고 확신할 수는 없지만 "그에 대한 공격은 피싱과 동일한 종류의 다중 모드 도구를 활용하는 공격자의 모든 특징을 지니고 있습니다. -a-service 플랫폼이 제공합니다.”

그는 "as-a-service" 유형의 오퍼링이 계속해서 관심을 끌 것으로 기대합니다. 키트가 중저급 사이버 범죄자가 피싱 캠페인을 만들 수 있는 기준을 낮출 뿐만 아니라 상위 계층 범죄자가 집중할 수 있게 해주기 때문입니다. 단일 영역에 집중하고 보다 정교한 전술과 악성코드를 개발합니다.

Fitzpatrick은 “10년 2023월에만 피싱 키트 배포가 XNUMX% 증가했습니다.

2022년에는 피싱 경고 및 탐지가 45% 증가했습니다.

하지만 증가하는 것은 피싱 수법만이 아니라 모든 사이버 공격입니다. Check Point의 데이터에 따르면 2022년에는 금융/은행 부문에 대한 주간 사이버 공격이 52년 공격에 비해 2021% 증가했습니다.

Check Point의 위협 그룹 관리자인 Sergey Shykevich는 "지난해 사이버 공격과 사기 수법의 정교함이 크게 증가했습니다."라고 말했습니다. "이제 많은 경우 사이버 범죄자는 피싱/악성 이메일을 보내고 사람들이 클릭하기를 기다리는 데에만 의존하지 않고 전화 통화, MFA(다단계 인증) 피로 공격 등과 결합합니다."

두 사이버 보안 전문가는 은행이 고객을 교육하기 위해 더 많은 일을 할 수 있다고 말했습니다. 

Shykevich는 은행들이 사이버 범죄자들이 사용하는 방법을 탐지하고 차단할 수 있는 더 나은 위협 인텔리전스에 투자해야 한다고 말했습니다. 그가 제시한 예는 계정이 사용하는 브라우저, 화면 해상도 또는 키보드 언어와 같은 데이터를 기반으로 하는 개인의 디지털 "지문"과 로그인을 비교하는 것입니다.

Chase, 연방 기관 및 사이버 보안 전문가가 모두 동의한 한 가지는 고객이 은행에서 전화를 받고 그 사람이 정보를 요청하기 시작하면 전화를 끊고 직접 은행에 다시 전화하는 것입니다.

“소비자가 자신의 은행이라고 주장하는 누군가로부터 갑자기 전화, 문자 또는 이메일을 받아 문제를 경고하는 경우, 소비자는 전화를 끊어야 합니다(또는 문자/이메일을 삭제하고 링크를 클릭하지 마십시오). FTC 대변인은 "진짜라고 알고 있는 전화번호로 은행에 전화를 걸어보라"고 말했다.

사이버 범죄자는 발신자 ID를 속일 수 있으며 훔친 개인 정보를 사용하여 피해자를 속여 돈을 넘겨줄 수 있습니다.

팁을 이메일로 보내주세요 [이메일 보호]