14.6 C
Srīnagar
Tuesday, March 19, 2024
HomeFinance'Phishing-as-a-service' kits are driving an uptick in theft: What you possibly can...

‘Phishing-as-a-service’ kits are driving an uptick in theft: What you possibly can be taught from one enterprise proprietor’s story


कोडी मुलेनॉक्स और उनका परिवार। Mullenaux एक परिष्कृत तार धोखाधड़ी योजना का शिकार था जिसके परिणामस्वरूप $120,000 की चोरी हुई है

सौजन्य: कोड़ी मुलेनौक्स

बैंकों ने साइबर सुरक्षा और धोखाधड़ी का पता लगाने पर भारी मात्रा में राशि खर्च की है लेकिन क्या होता है जब आपराधिक रणनीति बैंक कर्मचारियों को मूर्ख बनाने के लिए पर्याप्त परिष्कृत होती है?

कोडी मुलेनौक्स के लिए, इसका मतलब था कि उसके चेस चेकिंग खाते से $120,000 से अधिक की राशि निकाली गई थी और उसकी चोरी की गई धनराशि को वापस पाने की बहुत कम उम्मीद थी।

कैलिफ़ोर्निया के एक 40 वर्षीय छोटे व्यवसाय के मालिक मुलेनॉक्स के लिए गाथा 19 दिसंबर को शुरू हुई। अपनी छोटी बेटी के लिए क्रिसमस की खरीदारी करते समय, उन्हें चेस धोखाधड़ी विभाग से होने का दावा करने वाले एक व्यक्ति का फोन आया और सत्यापित करने के लिए कहा एक संदिग्ध लेनदेन।

800-नंबर चेस ग्राहक सेवा से मेल खाता है इसलिए मुलेनौक्स को यह नहीं लगा कि जब व्यक्ति ने उसे पहचान उद्देश्यों के लिए पाठ संदेश द्वारा भेजे गए सुरक्षित लिंक के माध्यम से अपने खाते में लॉग इन करने के लिए कहा। लिंक वैध लग रहा था और जो वेबसाइट खुली वह उसके चेस बैंकिंग ऐप के समान दिखाई दे रही थी, इसलिए उसने लॉग इन किया।

“यह मेरे दिमाग में कभी नहीं आया कि मैं एक वैध चेस प्रतिनिधि के साथ बात नहीं कर रहा था,” मुलेनॉक्स ने सीएनबीसी को बताया।

वे दिन गए जब एक उपभोक्ता को केवल एक चीज से सावधान रहना पड़ता था जो एक संदिग्ध ईमेल या लिंक था। साइबर अपराधियों की रणनीति बहु-आयामी योजनाओं में बदल गई है, जिसमें कई अपराधी एक टीम के रूप में काम कर रहे हैं, जो किट में बेचे जाने वाले रेडीमेड सॉफ़्टवेयर को शामिल करने के लिए एक टीम के रूप में काम कर रहे हैं, जो पीड़ित के बैंक के फोन नंबर और नकली लॉगिन पेजों की नकल करते हैं। यह एक व्यापक खतरा है कि साइबर सुरक्षा विशेषज्ञों का कहना है कि गतिविधि में तेजी आ रही है। वे भविष्यवाणी करते हैं कि यह केवल बदतर हो जाएगा। दुर्भाग्य से, इन योजनाओं के शिकार लोगों के लिए, बैंक को हमेशा चुराए गए धन को चुकाने की आवश्यकता नहीं होती है।

लॉग इन करने के बाद, मुलेनौक्स ने कहा कि उसने अपने खातों के बीच बड़ी मात्रा में धन को स्थानांतरित होते देखा है। फोन पर व्यक्ति ने उसे बताया कि कोई व्यक्ति उसके खाते में सक्रिय रूप से उसके पैसे चुराने की कोशिश कर रहा था और इसे सुरक्षित रखने का एकमात्र तरीका बैंक पर्यवेक्षक को पैसे तार करना था, जहां यह अस्थायी रूप से आयोजित किया जाएगा, जबकि उन्होंने उसका खाता सुरक्षित कर लिया था।

इस डर से कि उसकी गाढ़ी कमाई चोरी होने वाली है, मुलेनौक्स ने कहा कि वह लगभग तीन घंटे तक फोन पर रहा, उसे दिए गए सभी निर्देशों का पालन किया और अतिरिक्त सुरक्षा सवालों के जवाब दिए।

सीएनबीसी ने मुलेनॉक्स के सेलुलर रिकॉर्ड, बैंक खाते की जानकारी, साथ ही पाठ संदेश की छवियों और उसे भेजे गए लिंक की समीक्षा की है।

घोटालेबाजों की टोली

मुलेनौक्स, जो एक्वाफैंट के आविष्कारक और संस्थापक हैं, जो एक प्रौद्योगिकी कंपनी है जो हवा से नमी को फ़िल्टर्ड पानी में परिवर्तित करती है, यह नहीं जानती थी कि फोन पर बात करने वाला व्यक्ति एक परिष्कृत साइबर क्रिमिनल टीम का हिस्सा था।

जबकि मुलेनॉक्स ने इस नकली धोखाधड़ी विभाग के प्रतिनिधि के साथ बात की थी, एक दूसरा स्कैमर वायर ट्रांसफर को अधिकृत करने के लिए चेस के साथ एक और फोन कॉल पर मुलेनॉक्स का प्रतिरूपण कर रहा था। मुलेनौक्स से पूछे गए सुरक्षा सवालों के सभी जवाब दूसरे स्कैमर को दिए जा रहे थे। इसने धोखेबाजों को सही उत्तर प्रदान करने और चेस कर्मचारी को समझाने की अनुमति दी कि वे खाताधारक से बात कर रहे थे।

धोखा काम कर गया। एक बार जब चेस कर्मचारी को यकीन हो गया कि यह मुलेनॉक्स ही था जिसने तीन वायर ट्रांसफर को अधिकृत करने के लिए फोन किया था, उसके बैंक खाते से $120,000 से अधिक गायब हो गए और उसके सर्वोत्तम प्रयासों के बावजूद इसमें से कोई भी वापस नहीं लिया गया।

सीएनबीसी को एक बयान में, ए पीछा करना प्रवक्ता ने कहा, “बैंक उपभोक्ताओं या व्यवसायों को कभी भी धोखाधड़ी को रोकने के लिए खुद को या किसी और को पैसे भेजने के लिए नहीं कहेंगे, लेकिन स्कैमर्स करेंगे। यह पुष्टि करने के लिए कि आप वास्तव में चेस से बात कर रहे हैं, अपने कार्ड के पीछे दिए गए नंबर पर कॉल करें या किसी शाखा में जाएं। “

Cody Mullenaux, एक्वाफैंट के आविष्कारक और संस्थापक, एक प्रौद्योगिकी कंपनी है जो हवा से नमी को फ़िल्टर्ड पानी में परिवर्तित करती है, अपनी टीम और परिवार के साथ।

सौजन्य: कोड़ी मुलेनौक्स

वायर घोटालों के शिकार लोगों के लिए थोड़ा सहारा

मुलेनौक्स ने कहा कि वह अपने चुराए गए धन को पुनर्प्राप्त करने के अपने अनुभव के बारे में निराश और पराजित महसूस करता है।

“इससे कोई फर्क नहीं पड़ता कि वे ग्राहकों की कोशिश करने और उन्हें सुरक्षित रखने के लिए क्या करते हैं, स्कैमर हमेशा एक कदम आगे होते हैं,” मुलेनॉक्स ने कहा, यह कहते हुए कि उनका पैसा एक बड़े बैंक की तुलना में एक बड़े बैंक में सुरक्षित होता, जिसे साइबर अपराधी निशाना बना रहे हैं।

संघीय व्यापार आयोग की सलाह है कि कोई भी ग्राहक जो सोचता है कि उसने वायर ट्रांसफर के जरिए स्कैमर्स को पैसे भेजे हैं, उसे तुरंत अपने बैंक से संपर्क करना चाहिए, धोखाधड़ी वाले ट्रांसफर की रिपोर्ट करनी चाहिए और इसे वापस करने के लिए कहना चाहिए।

एफटीसी ने सीएनबीसी को बताया कि धोखाधड़ी वाले वायर ट्रांसफर के माध्यम से भेजे गए धन को पुनर्प्राप्त करने का प्रयास करते समय समय महत्वपूर्ण है। एजेंसी ने कहा कि पीड़ितों को एजेंसी के साथ-साथ एफबीआई के इंटरनेट अपराध शिकायत केंद्र को भी उसी दिन या यदि संभव हो तो अगले दिन अपराध की रिपोर्ट करनी चाहिए।

मुलेनौक्स ने कहा कि उन्हें अगली सुबह कुछ गलत होने का एहसास हुआ जब उनकी धनराशि उनके खाते में वापस नहीं आई थी।

वह तुरंत अपनी स्थानीय चेस बैंक शाखा में चला गया जहाँ उसे बताया गया कि वह धोखाधड़ी का शिकार हो गया है। मुलेनौक्स ने कहा कि इस मामले को किसी भी तात्कालिकता की भावना से नहीं संभाला गया था, और एक रिवर्स वायर ट्रांसफर प्रयास, जिसे एफटीसी ने सुझाव दिया था कि ग्राहक मांगें, एक विकल्प के रूप में पेश नहीं किया गया था।

इसके बजाय, मुलेनौक्स ने कहा कि शाखा कर्मचारी ने उसे बताया कि वह 10 दिनों के भीतर मेल में एक पैकेट प्राप्त करेगा जिसे वह दावा दायर करने के लिए भर सकता है। मुलेनौक्स ने पैकेट तुरंत मांगा। उन्होंने इसे भरकर उसी दिन जमा कर दिया।

कार्यकारी शाखा के साथ दायर एक दूसरे मुलेनौक्स के साथ उस दावे को अस्वीकार कर दिया गया था। मामले की जांच कर रहे कर्मचारियों ने कहा कि मुलेनौक्स ने वायर ट्रांसफर को अधिकृत करने के लिए फोन किया था।

कोडी मुलेनौक्स और उनकी बेटी। मुलेनौक्स अपनी बेटी के लिए क्रिसमस उपहारों की खरीदारी कर रहे थे, जब उन्हें चेस धोखाधड़ी विभाग के कर्मचारी का प्रतिरूपण करने वाले एक व्यक्ति का फोन आया।

सौजन्य: कोड़ी मुलेनौक्स

सीएनबीसी ने चेस को मुलेनॉक्स के सेल्युलर फोन रिकॉर्ड प्रदान किए, जिससे पता चलता है कि जिस दिन सवाल किया गया था उस दिन उसने चेस को कभी कोई आउटगोइंग फोन कॉल नहीं किया। रिकॉर्ड यह भी सुझाव देते हैं, जब वायर ट्रांसफर रिकॉर्ड के साथ तुलना की जाती है, तो यह मुलेनॉक्स नहीं हो सकता था, जिसने वायर ट्रांसफर को अधिकृत करने के लिए चेस को बुलाया था क्योंकि तीनों अधिकृत थे और तब तक चले गए, जब मुलेनॉक्स अभी भी स्कैमर्स के साथ फोन पर था।

हालांकि, इससे बैंक का निर्णय नहीं बदला और मुलेनॉक्स के दावे को फिर से खारिज कर दिया गया क्योंकि उसने अपनी निजी जानकारी अपराधियों के साथ साझा की थी।

स्कैमर्स ने नियामक खामियों का फायदा उठाया

स्कैमर्स को एहसास हुआ कि वे ऐसा कर रहे हैं या नहीं, उन्होंने वर्तमान उपभोक्ता संरक्षण कानून में दो खामियों का सफलतापूर्वक फायदा उठाया, जिसके परिणामस्वरूप चेस को मुलेनक्स के चोरी हुए धन को बदलने की आवश्यकता नहीं थी। कानूनी रूप से, बैंकों को चुराए गए धन की प्रतिपूर्ति करने की आवश्यकता नहीं होती है जब किसी ग्राहक को साइबर अपराधी को पैसे भेजने के लिए बरगलाया जाता है।

हालांकि, इलेक्ट्रॉनिक फंड ट्रांसफर एक्ट के तहत, जिसमें पीयर-टू-पीयर भुगतान और ऑनलाइन भुगतान या ट्रांसफर जैसे अधिकांश प्रकार के इलेक्ट्रॉनिक लेनदेन शामिल हैं, बैंकों को ग्राहक को अधिकृत किए बिना धन चोरी होने पर ग्राहकों को चुकाने की आवश्यकता होती है। दुर्भाग्य से, वायर ट्रांसफर, जिसमें एक बैंक से दूसरे बैंक में पैसे ट्रांसफर करना शामिल है, अधिनियम के तहत कवर नहीं किया गया है, जिसमें कागजी चेक और प्रीपेड कार्ड से जुड़ी धोखाधड़ी शामिल नहीं है।

वायर ट्रांसफर शुरू करने से पहले साइबर अपराधियों ने मुलेनॉक्स के व्यक्तिगत चेकिंग और बचत खातों से अपने व्यवसाय खाते में धनराशि स्थानांतरित की। विनियमन ई, जो उपभोक्ताओं को अनधिकृत लेनदेन से अपना पैसा वापस पाने में मदद करने के लिए डिज़ाइन किया गया है, केवल व्यक्तियों की सुरक्षा करता है, व्यावसायिक खातों की नहीं।

चेस के एक प्रतिनिधि ने कहा कि जांच चल रही है क्योंकि बैंक चोरी हुए धन की वसूली की कोशिश कर रहा है।

यह कुछ ऐसा है जिसके लिए मुलेनॉक्स कहता है कि वह इसके लिए प्रार्थना कर रहा है। “मैं प्रार्थना करता हूं कि इस त्रासदी को किसी तरह सुलझाया जाए, कि [bank] प्रबंधन देखता है कि मेरे साथ क्या हुआ और मेरा पैसा वापस कर दिया गया।”

मुलेनौक्स ने स्थानीय पुलिस और एफबीआई के इंटरनेट अपराध शिकायत केंद्र में भी रिपोर्ट दायर की है, लेकिन किसी ने भी अपने मामले के बारे में उनसे संपर्क नहीं किया है।

परिष्कृत स्कैमिंग रणनीति बढ़ रही है

यह इन परिष्कृत योजनाओं के साथ साइबर अपराधियों द्वारा लक्षित ग्राहकों का पीछा करना ही नहीं है। पिछली गर्मियों में, आयरननेट का खुलासा हुआ एक “फ़िशिंग-एज़-ए-सर्विस” प्लेटफ़ॉर्म जो बैंकों सहित यूएस-आधारित कंपनियों को लक्षित करने वाले साइबर अपराधियों को तैयार फ़िशिंग किट बेचता है। अनुकूलन योग्य किट की कीमत कम से कम $50 प्रति माह हो सकती है और इसमें कोड, ग्राफिक्स और कॉन्फ़िगरेशन फ़ाइलें शामिल हैं जो बैंक लॉगिन पृष्ठों के समान हैं।

आयरननेट के थ्रेट एनालिसिस मैनेजर जॉय फिट्ज़पैट्रिक ने कहा कि हालांकि वह निश्चित रूप से यह नहीं कह सकते हैं कि मुलेनॉक्स को इस तरह से धोखा दिया गया था, “उसके खिलाफ हमले में हमलावरों के सभी हॉलमार्क हैं जो एक ही तरह के मल्टीमॉडल टूल का लाभ उठाते हैं जो फ़िशिंग-जैसे हैं। -ए-सर्विस प्लेटफॉर्म प्रदान करते हैं।”

उन्हें उम्मीद है कि “ए-ए-सर्विस”-प्रकार की पेशकश केवल कर्षण प्राप्त करना जारी रखेगी क्योंकि किट न केवल फ़िशिंग अभियान बनाने के लिए निम्न-से-मध्यम-स्तरीय साइबर अपराधियों के लिए बार को कम करती हैं, बल्कि यह उच्च-स्तरीय अपराधियों को ध्यान केंद्रित करने में भी सक्षम बनाती हैं। एक ही क्षेत्र पर और अधिक परिष्कृत रणनीति और मैलवेयर विकसित करें।

फिट्ज़पैट्रिक ने कहा, “हमने अकेले जनवरी 2023 में फ़िशिंग किट की तैनाती में 10% की वृद्धि देखी है।”

2022 में, कंपनी ने फ़िशिंग अलर्ट और डिटेक्शन में 45% की वृद्धि देखी।

लेकिन यह केवल फ़िशिंग योजनाओं में वृद्धि नहीं है, यह सभी साइबर हमले हैं। 2022 में चेक प्वाइंट के डेटा से पता चलता है कि 2021 में हमलों की तुलना में वित्त/बैंकिंग क्षेत्र पर साप्ताहिक साइबर हमलों में 52% की वृद्धि हुई थी।

चेक प्वाइंट के थ्रेट ग्रुप मैनेजर सर्गेई शायकेविच ने कहा, “पिछले साल के दौरान साइबर हमले और धोखाधड़ी योजनाओं का परिष्कार काफी बढ़ गया है।” “अब, कई मामलों में साइबर अपराधी केवल फ़िशिंग/दुर्भावनापूर्ण ईमेल भेजने और लोगों द्वारा उस पर क्लिक करने की प्रतीक्षा करने पर निर्भर नहीं रहते हैं, बल्कि इसे फ़ोन कॉल, MFA के साथ जोड़ देते हैं [multifactor authentication] थकान के हमले और बहुत कुछ।”

दोनों साइबर सुरक्षा विशेषज्ञों ने कहा कि ग्राहकों को शिक्षित करने के लिए बैंक और अधिक कर सकते हैं।

शायकेविच ने कहा कि बैंकों को बेहतर खतरे की खुफिया जानकारी में निवेश करना चाहिए जो साइबर अपराधियों द्वारा उपयोग किए जाने वाले तरीकों का पता लगा सके और उन्हें ब्लॉक कर सके। एक उदाहरण जो उन्होंने दिया वह एक लॉगिन की तुलना एक व्यक्ति के डिजिटल “फिंगरप्रिंट” से कर रहा है, जो डेटा पर आधारित है जैसे कि एक खाता जिस ब्राउज़र का उपयोग करता है, स्क्रीन रिज़ॉल्यूशन या कीबोर्ड भाषा।

सर्वोत्तम सलाह: फ़ोन काट दें

एक बात थी जिस पर चेस, संघीय एजेंसियां ​​और साइबर सुरक्षा विशेषज्ञ सभी सहमत थे: यदि कोई ग्राहक अपने बैंक से एक फोन कॉल प्राप्त करता है और वह व्यक्ति जानकारी मांगना शुरू कर देता है, फोन काट दें और स्वयं बैंक को कॉल करें।

“यदि किसी उपभोक्ता को अपने बैंक से होने का दावा करने वाले किसी व्यक्ति से नीले रंग से कॉल, टेक्स्ट या ईमेल प्राप्त होता है, तो उपभोक्ता को फोन काट देना चाहिए (या टेक्स्ट/ईमेल को हटा देना चाहिए और लिंक पर क्लिक नहीं करना चाहिए) और उनके बैंक को उस फ़ोन नंबर पर कॉल करने का प्रयास करें जिसे वे वास्तविक जानते हैं,” एक FTC प्रवक्ता ने कहा।

साइबर अपराधियों के पास कॉलर आईडी को खराब करने की क्षमता होती है और वे चोरी की गई व्यक्तिगत जानकारी का उपयोग किसी पीड़ित को पैसे सौंपने के लिए कर सकते हैं।

कृपया सीएनबीसी को अपने सुझाव ईमेल करें यहाँ.


#Phishingasaservice #kits #driving #uptick #theft #be taught #enterprise #homeowners #story

RELATED ARTICLES
- Advertisment -

Most Popular

Recent Comments