'फ़िशिंग-एज़-ए-सर्विस' किट चोरी में वृद्धि करती है: एक व्यवसाय स्वामी की कहानी

बैंकों ने साइबर सुरक्षा और धोखाधड़ी का पता लगाने पर भारी मात्रा में राशि खर्च की है लेकिन क्या होता है जब आपराधिक रणनीति बैंक कर्मचारियों को मूर्ख बनाने के लिए पर्याप्त परिष्कृत होती है? 

कोडी मुलेनौक्स के लिए, इसका मतलब था कि उसके चेस चेकिंग खाते से $120,000 से अधिक की राशि निकाली गई थी और उसकी चोरी की गई धनराशि को वापस पाने की बहुत कम उम्मीद थी।

कैलिफोर्निया के एक 40 वर्षीय छोटे व्यवसाय के मालिक मुलेनॉक्स के लिए गाथा 19 दिसंबर को शुरू हुई। अपनी छोटी बेटी के लिए क्रिसमस की खरीदारी करते समय, उन्हें चेस धोखाधड़ी विभाग से होने का दावा करने वाले एक व्यक्ति का फोन आया और सत्यापित करने के लिए कहा। एक संदिग्ध लेनदेन।

800-नंबर चेस ग्राहक सेवा से मेल खाता है इसलिए मुलेनौक्स को यह नहीं लगा कि जब व्यक्ति ने उसे पहचान उद्देश्यों के लिए पाठ संदेश द्वारा भेजे गए सुरक्षित लिंक के माध्यम से अपने खाते में लॉग इन करने के लिए कहा। लिंक वैध लग रहा था और जो वेबसाइट खुली वह उसके चेस बैंकिंग ऐप के समान दिखाई दे रही थी, इसलिए उसने लॉग इन किया। 

मुलेनौक्स ने सीएनबीसी को बताया, "यह मेरे दिमाग में कभी नहीं आया कि मैं एक वैध चेस प्रतिनिधि के साथ बात नहीं कर रहा था।"

वे दिन गए जब एक उपभोक्ता को केवल एक चीज से सावधान रहना पड़ता था जो एक संदिग्ध ईमेल या लिंक था। साइबर अपराधियों की रणनीति बहु-आयामी योजनाओं में बदल गई है, जिसमें कई अपराधी एक टीम के रूप में काम कर रहे हैं, जो किट में बेचे जाने वाले रेडीमेड सॉफ़्टवेयर को शामिल करने के लिए एक टीम के रूप में काम कर रहे हैं, जो पीड़ित के बैंक के फोन नंबर और नकली लॉगिन पेजों की नकल करते हैं। यह एक व्यापक खतरा है कि साइबर सुरक्षा विशेषज्ञों का कहना है कि गतिविधि में तेजी आ रही है। वे भविष्यवाणी करते हैं कि यह केवल बदतर हो जाएगा। दुर्भाग्य से, इन योजनाओं के शिकार लोगों के लिए, बैंक को हमेशा चुराए गए धन को चुकाने की आवश्यकता नहीं होती है।

लॉग इन करने के बाद, मुलेनौक्स ने कहा कि उसने अपने खातों के बीच बड़ी मात्रा में धन को स्थानांतरित होते देखा है। फोन पर व्यक्ति ने उसे बताया कि कोई व्यक्ति उसके खाते में सक्रिय रूप से उसके पैसे चुराने की कोशिश कर रहा था और इसे सुरक्षित रखने का एकमात्र तरीका बैंक पर्यवेक्षक को पैसे तार करना था, जहां यह अस्थायी रूप से आयोजित किया जाएगा, जबकि उन्होंने उसका खाता सुरक्षित कर लिया था।

इस डर से कि उसकी गाढ़ी कमाई चोरी होने वाली है, मुलेनौक्स ने कहा कि वह लगभग तीन घंटे तक फोन पर रहा, उसे दिए गए सभी निर्देशों का पालन किया और अतिरिक्त सुरक्षा सवालों के जवाब दिए। 

सीएनबीसी ने मुलेनॉक्स के सेलुलर रिकॉर्ड, बैंक खाते की जानकारी, साथ ही पाठ संदेश की छवियों और उसे भेजे गए लिंक की समीक्षा की है।

मुलेनौक्स, जो एक्वाफैंट के आविष्कारक और संस्थापक हैं, जो एक प्रौद्योगिकी कंपनी है जो हवा से नमी को फ़िल्टर्ड पानी में परिवर्तित करती है, यह नहीं जानती थी कि फोन पर बात करने वाला व्यक्ति एक परिष्कृत साइबर क्रिमिनल टीम का हिस्सा था।

जबकि मुलेनॉक्स ने इस नकली धोखाधड़ी विभाग के प्रतिनिधि के साथ बात की थी, एक दूसरा स्कैमर वायर ट्रांसफर को अधिकृत करने के लिए चेस के साथ एक और फोन कॉल पर मुलेनॉक्स का प्रतिरूपण कर रहा था। मुलेनौक्स से पूछे गए सुरक्षा सवालों के सभी जवाब दूसरे स्कैमर को दिए जा रहे थे। इसने धोखेबाजों को सही उत्तर प्रदान करने और चेस कर्मचारी को समझाने की अनुमति दी कि वे खाताधारक से बात कर रहे थे।

धोखा काम कर गया। एक बार जब चेस कर्मचारी को यकीन हो गया कि यह मुलेनॉक्स ही था जिसने तीन वायर ट्रांसफर को अधिकृत करने के लिए फोन किया था, उसके बैंक खाते से $120,000 से अधिक गायब हो गए और उसके सर्वोत्तम प्रयासों के बावजूद इसमें से कोई भी वापस नहीं लिया गया। 

सीएनबीसी को दिए एक बयान में, ए पीछा प्रवक्ता ने कहा, "बैंक कभी भी उपभोक्ताओं या व्यवसायों को धोखाधड़ी को रोकने के लिए खुद को या किसी और को पैसे भेजने के लिए नहीं कहेंगे, लेकिन स्कैमर्स करेंगे। यह पुष्टि करने के लिए कि आप वास्तव में चेस से बात कर रहे हैं, अपने कार्ड के पीछे दिए गए नंबर पर कॉल करें या किसी शाखा में जाएँ।

मुलेनौक्स ने कहा कि वह अपने चुराए गए धन को पुनर्प्राप्त करने के अपने अनुभव के बारे में निराश और पराजित महसूस करता है।

"इससे कोई फर्क नहीं पड़ता कि वे ग्राहकों की कोशिश करने और उन्हें सुरक्षित रखने के लिए क्या करते हैं, स्कैमर्स हमेशा एक कदम आगे रहते हैं," मुलेनॉक्स ने कहा, यह कहते हुए कि साइबर अपराधियों को लक्षित करने वाले बड़े बैंक की तुलना में उनका पैसा जूते के बक्से में सुरक्षित होता।

संघीय व्यापार आयोग की सलाह है कि कोई भी ग्राहक जो सोचता है कि उसने वायर ट्रांसफर के जरिए स्कैमर्स को पैसे भेजे हैं, उसे तुरंत अपने बैंक से संपर्क करना चाहिए, धोखाधड़ी वाले ट्रांसफर की रिपोर्ट करनी चाहिए और इसे वापस करने के लिए कहना चाहिए।

एफटीसी ने सीएनबीसी को बताया कि धोखाधड़ी वाले वायर ट्रांसफर के माध्यम से भेजे गए धन को पुनर्प्राप्त करने का प्रयास करते समय समय महत्वपूर्ण है। एजेंसी ने कहा कि पीड़ितों को एजेंसी के साथ-साथ एफबीआई के इंटरनेट अपराध शिकायत केंद्र को भी उसी दिन या यदि संभव हो तो अगले दिन अपराध की रिपोर्ट करनी चाहिए। 

मुलेनौक्स ने कहा कि उन्हें अगली सुबह कुछ गलत होने का एहसास हुआ जब उनके खाते में पैसा नहीं लौटाया गया।

वह तुरंत अपनी स्थानीय चेस बैंक शाखा में चला गया जहाँ उसे बताया गया कि वह धोखाधड़ी का शिकार हो गया है। मुलेनौक्स ने कहा कि इस मामले को किसी भी तात्कालिकता की भावना से नहीं संभाला गया था, और एक रिवर्स वायर ट्रांसफर प्रयास, जिसे एफटीसी ने सुझाव दिया था कि ग्राहक मांगें, एक विकल्प के रूप में पेश नहीं किया गया था।

इसके बजाय, मुलेनौक्स ने कहा कि शाखा कर्मचारी ने उसे बताया कि वह 10 दिनों के भीतर मेल में एक पैकेट प्राप्त करेगा जिसे वह दावा दायर करने के लिए भर सकता है। मुलेनौक्स ने पैकेट तुरंत मांगा। उन्होंने इसे भरकर उसी दिन जमा कर दिया।

उस दावे के साथ-साथ कार्यकारी शाखा के साथ दायर एक दूसरे मुलेनौक्स को अस्वीकार कर दिया गया था। मामले की जांच कर रहे कर्मचारियों ने कहा कि मुलेनौक्स ने वायर ट्रांसफर को अधिकृत करने के लिए फोन किया था।

सीएनबीसी ने चेस को मुलेनॉक्स के सेल्युलर फोन रिकॉर्ड प्रदान किए, जिससे पता चलता है कि जिस दिन सवाल किया गया था उस दिन उसने चेस को कभी कोई आउटगोइंग फोन कॉल नहीं किया। रिकॉर्ड यह भी सुझाव देते हैं, जब वायर ट्रांसफर रिकॉर्ड के साथ तुलना की जाती है, तो यह मुलेनॉक्स नहीं हो सकता था, जिसने वायर ट्रांसफर को अधिकृत करने के लिए चेस को बुलाया था क्योंकि तीनों अधिकृत थे और तब तक चले गए, जब मुलेनक्स अभी भी स्कैमर्स के साथ फोन पर था।

हालांकि, इससे बैंक का निर्णय नहीं बदला और मुलेनॉक्स के दावे को फिर से खारिज कर दिया गया क्योंकि उसने अपनी निजी जानकारी अपराधियों के साथ साझा की थी।

स्कैमर्स को एहसास हुआ कि वे ऐसा कर रहे हैं या नहीं, उन्होंने वर्तमान उपभोक्ता संरक्षण कानून में दो खामियों का सफलतापूर्वक फायदा उठाया, जिसके परिणामस्वरूप चेस को मुलेनक्स के चोरी हुए धन को बदलने की आवश्यकता नहीं थी। कानूनी रूप से, बैंकों को चुराए गए धन की प्रतिपूर्ति करने की आवश्यकता नहीं होती है जब किसी ग्राहक को साइबर अपराधी को पैसे भेजने के लिए बरगलाया जाता है।

हालांकि, इलेक्ट्रॉनिक फंड ट्रांसफर एक्ट के तहत, जिसमें पीयर-टू-पीयर भुगतान और ऑनलाइन भुगतान या ट्रांसफर जैसे अधिकांश प्रकार के इलेक्ट्रॉनिक लेनदेन शामिल हैं, बैंकों को ग्राहक को अधिकृत किए बिना धन चोरी होने पर ग्राहकों को चुकाने की आवश्यकता होती है। दुर्भाग्य से, वायर ट्रांसफर, जिसमें एक बैंक से दूसरे बैंक में पैसे ट्रांसफर करना शामिल है, अधिनियम के तहत कवर नहीं किया गया है, जिसमें कागजी चेक और प्रीपेड कार्ड से जुड़ी धोखाधड़ी शामिल नहीं है।

वायर ट्रांसफर शुरू करने से पहले साइबर अपराधियों ने मुलेनॉक्स के व्यक्तिगत चेकिंग और बचत खातों से अपने व्यवसाय खाते में धनराशि स्थानांतरित की। विनियमन ई, जो उपभोक्ताओं को अनधिकृत लेनदेन से अपना पैसा वापस पाने में मदद करने के लिए डिज़ाइन किया गया है, केवल व्यक्तियों की सुरक्षा करता है, व्यावसायिक खातों की नहीं।

चेस के एक प्रतिनिधि ने कहा कि जांच चल रही है क्योंकि बैंक चोरी हुए धन की वसूली की कोशिश कर रहा है।

मुलेनॉक्स का कहना है कि वह इसी के लिए प्रार्थना कर रहा है। "मैं प्रार्थना करता हूं कि इस त्रासदी को किसी तरह सुलझाया जाए, कि [बैंक] प्रबंधन देखे कि मेरे साथ क्या हुआ है और मेरा पैसा वापस कर दिया जाए।"

मुलेनौक्स ने स्थानीय पुलिस और एफबीआई के इंटरनेट अपराध शिकायत केंद्र में भी रिपोर्ट दायर की है, लेकिन किसी ने भी अपने मामले के बारे में उनसे संपर्क नहीं किया है।

यह इन परिष्कृत योजनाओं के साथ साइबर अपराधियों द्वारा लक्षित ग्राहकों का पीछा करना ही नहीं है। पिछली गर्मियों में, आयरननेट का खुलासा हुआ एक "फ़िशिंग-एज़-ए-सर्विस" प्लेटफ़ॉर्म जो बैंकों सहित यूएस-आधारित कंपनियों को लक्षित करने वाले साइबर अपराधियों को तैयार फ़िशिंग किट बेचता है। अनुकूलन योग्य किट की कीमत कम से कम $50 प्रति माह हो सकती है और इसमें कोड, ग्राफिक्स और कॉन्फ़िगरेशन फ़ाइलें शामिल हैं जो बैंक लॉगिन पृष्ठों के समान हैं।

आयरननेट के थ्रेट एनालिसिस मैनेजर जॉय फिट्ज़पैट्रिक ने कहा कि हालांकि वह निश्चित रूप से यह नहीं कह सकते हैं कि मुलेनॉक्स को इस तरह से धोखा दिया गया था, "उसके खिलाफ हमले में हमलावरों के सभी हॉलमार्क हैं जो एक ही तरह के मल्टीमॉडल टूल का लाभ उठाते हैं जो फ़िशिंग-जैसे हैं। -ए-सर्विस प्लेटफॉर्म प्रदान करते हैं।

उन्हें उम्मीद है कि "ए-ए-सर्विस"-प्रकार की पेशकश केवल कर्षण प्राप्त करना जारी रखेगी क्योंकि किट न केवल फ़िशिंग अभियान बनाने के लिए निम्न-से-मध्यम-स्तरीय साइबर अपराधियों के लिए बार को कम करती हैं, बल्कि यह उच्च-स्तरीय अपराधियों को ध्यान केंद्रित करने में भी सक्षम बनाती हैं। एक ही क्षेत्र पर और अधिक परिष्कृत रणनीति और मैलवेयर विकसित करें।

फिट्ज़पैट्रिक ने कहा, "हमने अकेले जनवरी 10 में फ़िशिंग किट की तैनाती में 2023% की वृद्धि देखी है।"

2022 में, कंपनी ने फ़िशिंग अलर्ट और डिटेक्शन में 45% की वृद्धि देखी।

लेकिन यह केवल फ़िशिंग योजनाओं में वृद्धि नहीं है, यह सभी साइबर हमले हैं। 2022 में चेक प्वाइंट के डेटा से पता चलता है कि 52 में हमलों की तुलना में वित्त/बैंकिंग क्षेत्र पर साप्ताहिक साइबर हमलों में 2021% की वृद्धि हुई थी।

चेक प्वाइंट के थ्रेट ग्रुप मैनेजर सर्गेई शायकेविच ने कहा, "पिछले साल के दौरान साइबर हमले और धोखाधड़ी योजनाओं का परिष्कार काफी बढ़ गया है।" "अब, कई मामलों में साइबर अपराधी केवल फ़िशिंग/दुर्भावनापूर्ण ईमेल भेजने और लोगों द्वारा उस पर क्लिक करने की प्रतीक्षा करने पर निर्भर नहीं रहते हैं, बल्कि इसे फ़ोन कॉल, MFA [मल्टीफैक्टर ऑथेंटिकेशन] थकान हमलों और बहुत कुछ के साथ जोड़ते हैं।"

दोनों साइबर सुरक्षा विशेषज्ञों ने कहा कि ग्राहकों को शिक्षित करने के लिए बैंक और अधिक कर सकते हैं। 

शायकेविच ने कहा कि बैंकों को बेहतर खतरे की खुफिया जानकारी में निवेश करना चाहिए जो साइबर अपराधियों द्वारा उपयोग किए जाने वाले तरीकों का पता लगा सके और उन्हें ब्लॉक कर सके। एक उदाहरण जो उन्होंने दिया वह एक लॉगिन की तुलना एक व्यक्ति के डिजिटल "फिंगरप्रिंट" से कर रहा है, जो डेटा पर आधारित है जैसे कि एक खाता जिस ब्राउज़र का उपयोग करता है, स्क्रीन रिज़ॉल्यूशन या कीबोर्ड भाषा।

एक बात थी जिस पर चेस, संघीय एजेंसियां ​​और साइबर सुरक्षा विशेषज्ञ सभी सहमत थे: यदि कोई ग्राहक अपने बैंक से एक फोन कॉल प्राप्त करता है और वह व्यक्ति जानकारी मांगना शुरू कर देता है, फोन काट दें और स्वयं बैंक को कॉल करें।

"यदि किसी उपभोक्ता को अपने बैंक से होने का दावा करने वाले किसी व्यक्ति से नीले रंग से कॉल, टेक्स्ट या ईमेल प्राप्त होता है, तो उपभोक्ता को फोन काट देना चाहिए (या टेक्स्ट/ईमेल को हटा देना चाहिए और लिंक पर क्लिक नहीं करना चाहिए) और उनके बैंक को उस फ़ोन नंबर पर कॉल करने का प्रयास करें जिसे वे वास्तविक जानते हैं," एक FTC प्रवक्ता ने कहा।

साइबर अपराधियों के पास कॉलर आईडी को खराब करने की क्षमता होती है और वे चोरी की गई व्यक्तिगत जानकारी का उपयोग किसी पीड़ित को पैसे सौंपने के लिए कर सकते हैं।

कृपया करने के लिए युक्तियाँ ईमेल करें [ईमेल संरक्षित]