Cyber-hyökkääjät Tyhjät liiketilit minuutteina

He odottivat, että koulujen ylläpitäjät olivat poissa lomalla, ja sitten neljän päivän jaksolla 29.12.-2. tammikuuta hän sai 704.610,35 dollaria kaksi koulupiirin pankkitilejä. Länsi Beaverin rahoituslaitos, ESB Bank, onnistui kääntämään osan siirroista, mutta Pennsylvanian koulukunta oli yli 441 000 dollaria.

Western Beaver haastoi ESB: n 9. heinäkuuta saadakseen rahat takaisin, mutta turvallisuusasiantuntijat sanovat, että se on vain yksi monista organisaatioista, jotka ovat kärsineet viime kuukausina häiritsevän uudenlaisia ​​taloudellisia petoksia, jotka usein voivat jättää laittomasti uhrin.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Petostentorjunnat hyödyntävät laajalti käytössä olevaa mutta hämärää automaattista selvitysyhteisöä (ACH) verkostoon saadakseen hyökkäyksensä pois. Rahoituslaitokset käyttävät tätä rahoitusverkostoa suoraan talletusten, sekkien, laskujen ja käteismaksujen suorittamiseen yritysten ja yksityishenkilöiden välillä.

Huhtikuussa ACH-petoksentekijät siirsivät 1,2 miljoonaa dollaria Sugar Landista, Texasista, joka on tuoja nimeltä Unique Industrial Products, Houston Chronicle -raportin mukaan. He tekivät tämän hakkeroimalla yrityksen tietokoneisiin ja sallivat sitten 39 siirtoa siirtääkseen rahat Unique Industrialin tililtä. Vaikka suurin osa rahoista on saatu takaisin, huijarit tekivät 150 000 dollaria hyökkäyksestä - ei huono 30 minuutin työstä.

"ACH-petokset kasvavat edelleen erityisesti tämänhetkisessä talouden laskusuhdanteessa, jossa työttömyys on erittäin korkealla tasolla". sanoi Jeffery Dertz, kumppani vakuutuskäytäntöryhmässä, Chicago-pohjaisen kirjanpito- ja konsulttitoimiston Blackman Kallickin kanssa.

Rikolliset voivat tehdä miljoonia dollareita päivässä ACH-petosten kanssa, tutkijat sanovat. Ja vaikka kuluttajat ovat suojattuja tällaisilta petoksilta, yritysten ja organisaatioiden säännöt eivät ole niin selkeitä, joten joskus Western Beaverin uhrien itse joutuvat maksamaan.

Petos yleensä alkaa kohdennetulla phishing-sähköpostilla, joka kohdistuu kenelle vastaa yhtiön varastokirja. Hyökkäämällä uhreja käynnissä olevaan ohjelmistoon, avaamalla haitallisen liitetiedoston tai käymällä haitallisella verkkosivustolla rikolliset voivat asentaa keilogging-ohjelmiston ja varastaa pankkitilien salasanat.

"Jos voin saada salasanani, voin olla hauskaa ", sanoi Robert West, entinen tietoturvapäällikkö viidennestä kolmannesta pankista, joka on nykyään Echelon Onein turvallisuusalan neuvonantajana toimiva pääjohtaja. Hän on samaa mieltä siitä, että ACH-petos on kasvava ongelma

Western Beaverin lakimies Alfred Steff ei ole kommentoinut tätä tarinaa, mutta läänin haastemiehistössä hän sanoi, että petokset käyttävät tietokoneviruksia hakkeroimaan koulun johtokunnan tietokonejärjestelmää.

Usein haittaohjelmat sijaitsevat selaimen sisällä, odottaen, että uhri kirjautuu pankkitilille ennen kuin ryhtyy toimiin. Sitten, kun uhri on kirjautunut sisään, ohjelmisto perustaa uusia maksunsaajia ja siirtää rahaa heille - kun uhrin tilit on hakattu, kaikki hyökkääjän tarpeet ovat reititysnumero ja tilinumero, jotta rahaa siirretään rahan muuliin. Jos kaksi henkilöä on allekirjoitettava siirron, hakkerit osuvat molempiin.

Muulat ovat myös uhreja. He tavallisesti ajattelevat tekevänsä laillisia palkkalistoja kansainvälisille yrityksille. Kun heidät on otettu palvelukseen Monster.comin kaltaisilla sivustoilla, heille kerrotaan saavan 5 prosentin palkkion, jos he siirtävät rahaa maasta. Usein, kun pankki peruuttaa liiketoimen, he joutuvat maksamaan.

Jotkut tietoturva-asiantuntijat uskovat, että se, että muulat on vaikea rekrytoida, on ainoa asia, jolla tällaiset petokset voidaan torjua juuri nyt. Turvallisuustoimittaja Trusteer arvioi, että 3 prosenttia kuluttajista on jo infektoitu taloudellisilla petoksilla. "Pullonkaula saa rahat pois tileistä", sanoi Trusteerin teknologiapäällikkö Amit Klein.

Petos toimii osittain, koska petollinen ACH-toiminta ei aina luo punaisia ​​lippuja pankkien kanssa etenkin pienempien alueellisten pankkien ollessa mukana yhden tutkijan mukaan, joka pyysi, ettei häntä tunnisteta, koska hän työskentelee aktiivisissa tapauksissa. "On hyvin vakava ongelma," hän sanoi ACH-petoksesta. "Se on hyvin vanha järjestelmä, eikä taustalla olevalla siirtojärjestelmällä voi olla paljon valvontaa."

Western Beaverin tapauksessa punaisia ​​lippuja olisi pitänyt herättää, kun koululautakunta yhtäkkiä lisäsi 42 henkilöä palkkalistoihinsa kaukana Kaliforniassa ja Puerto Ricossa joulun tauon aikana, ja sitten alkoi maksaa heitä paljon enemmän kuin useimmat muut palkkasotilaat, hän sanoi. Oikeudenkäyntiasiakirjojen mukaan ESB sai 74 siirtopyynnön neljänpäiväisen jakson aikana. Toinen punainen lippu.

Länsi-Beaverin kanteessa Western Beaver rikkoo pankkiansa, koska se ei ole "punaisella lipulla" luvattomia pyyntöjä. ESB-pankin tiedottajaa ei voitu kommentoida.

Yksi syy siihen, että pankkien on vaikea havaita petollisia ACH-tapahtumia, johtuu siitä, että verkon kautta liikkuvan rahan määrä on yksinkertaisesti ylivoimainen. ACH-verkko käsitteli vuonna 2002 lähes 9 miljardia maksua, joiden arvo oli yli 24,4 miljardia dollaria. "Viimeiset parit pankit, jotka olin työskennellyt, menisimme vastaavan nettovarallamme parin päivän kuluessa", West sanoi.

Tällainen ACH-petos ei ole yhtä kannattavaa kuin Wachaan presidentti Mary Gilmeister, voittoa tavoittelematon organisaatio, joka toimittaa ACH: lle tietoja rahoitusorganisaatioista. "Se on tärkeää, mutta se ei vaikuta lukuisiin rahoituslaitoksiin", hän sanoi. "Rahoituslaitokset kiinnittävät enemmän huomiota siihen," viestivät keskenään ja lähettävät varoituslippuja, kun petos tapahtuu, hän sanoi.

ACH: n huijauksella tyhjentämiensä pankkitiliensa osalta liittovaltion pankkisäännökset ylittävät vastuun 50 dollaria, niin kauan kuin petos ilmoitetaan ajoissa. Mutta yrityksille ja muille yhteisöille asiat ovat paljon monimutkaisempia, ja joutuukin maksamaan voi vaihdella pankista toiseen.

Tämä voisi vakavasti heikentää kansalaisten luottamusta Internet-pankkiin, tutkija sanoi: "Olemme puhuvat pienyrityksistä, Yhdysvaltojen elintavoista, jotka joutuvat kärsimään viidestä tai kuudesta luvusta, koska he ovat omaksuneet verkkopankin. "