Cyber ​​Attackers Tomme forretningskonti i minutter

De kriminelle vidste, hvad de gjorde, da de ramte Western Beaver County School District. De ventede, indtil skolens administratorer var væk på ferie, og derefter i en fire-dages periode mellem 29. december og 2. januar siphoned 704.610,35 US $ to af skoledistriktets bankkonti. Western Beaver's finansinstitution, ESB Bank, formåede at vende nogle af overførsler, men Pennsylvania skoledistrikt var mere end $ 441.000.

Den 9. juli klagede Western Beaver ESB for at forsøge at inddrive pengene, men sikkerhedseksperter siger det Det er bare en af ​​mange organisationer, der er ramt i de seneste måneder af en foruroligende ny type økonomisk svig, som ofte kan forlade offeret, der holder posen.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Svindlere udnytter det udbredte, men uklare automatiske clearinghus (ACH) Network for at fjerne deres angreb. Dette finansielle netværk bruges af finansielle institutioner til at håndtere direkte indbetalinger, checks, regningsbetalinger og pengeoverførsler mellem virksomheder og enkeltpersoner. I april flyttede ACH-svindlere $ 1,2 millioner ud af Sugar Land, Texas, importør, der hedder Unique Industrial Products, ifølge en rapport i Houston Chronicle. De gjorde det ved at hacke ind i virksomhedens computere og derefter godkende 39 overførsler for at flytte pengene ud af Unique Industrial's konto. Selvom størstedelen af ​​pengene blev afhentet, lavede scammers $ 150.000 fra angrebet - ikke dårligt i 30 minutter.

"ACH-svig fortsætter med at vokse, især i denne nuværende økonomiske nedgang, hvor arbejdsløsheden er på meget høje niveauer" sagde Jeffery Dertz, en partner i forsikringspraktikgruppen med Blackman Kallick, et Chicago-baseret regnskabs- og konsulentfirma.

Kriminelle kan gøre millioner af dollars om dagen med ACH-svig, siger forskere. Og mens forbrugerne er beskyttet mod denne form for bedrageri, er reglerne for virksomheder og organisationer ikke så klare, så sommetider forekommer ofre, som Western Beaver, selv nødt til at betale.

Svig starter typisk med en målrettet phishing-mail, rettet mod hvem der har ansvaret for selskabets checkbog. Ved at narre offeret i at køre software, åbne en skadelig vedhæftning eller besøge et ondsindet websted, kan de kriminelle installere keylogging-software og stjæle bankkontoadgangskoder.

"Hvis jeg kan få fat i deres legitimationsoplysninger, så kan jeg have sjovt, "sagde Robert West, den tidligere chef for sikkerhedsinformation hos Fifth Third Bank, som nu er administrerende direktør for sikkerhedsinformationsrådgivning Echelon One. Han er enig i, at ACH-bedrageri er et voksende problem.

Western Beaver's advokat, Alfred Steff, nægtede at kommentere denne historie, men i retten indgav amtet, at svindlere brugte en computervirus til at hakke i skolens computersystem. > Ofte ligger den ondsindede software lige inde i browseren og venter på, at offeret logger ind på et banksted, inden det kommer til handling. Så når offeret er logget ind, opretter softwaren nye betalere og overfører penge til dem - når offerets konti er blevet hacket, er alle angriberens behov et rutingsnummer og et kontonummer for at sende kontanter til en pengemuld. Hvis to personer skal underskrive overførslen, ramte hackerne dem begge.

Muldyrene er også ofre. De tror typisk, at de laver legitime lønninger til internationale virksomheder. Efter at være rekrutteret på websteder som Monster.com, bliver de fortalt, at de får en 5 procent provision, hvis de flytter penge ud af landet. Ofte når banken vender om transaktionen, skal de betale.

Nogle sikkerhedseksperter mener, at det faktum, at muldyr er vanskelige at rekruttere, er det eneste, der holder denne type svindel fra skyrocketing lige nu. Sikkerhedsleverandør Trusteer vurderer, at 3 procent af forbrugerne allerede er inficeret med økonomisk svindel software. "Flaskehalsen er ved at få pengene ud af regnskabet", siger Amit Klein, Trusteer's Chief Technology Officer.

Sviggen virker delvis, fordi svigagtig ACH-aktivitet ikke altid udløser røde flag med bankerne, især når mindre regionale banker er involveret, ifølge en efterforsker, der bad om ikke at blive identificeret, fordi han arbejder på aktive sager. "Der er et meget alvorligt problem i gang," sagde han om ACH-bedrageriet. "Det er et meget gammelt system, og der er muligvis ikke mange kontroller i det underliggende overførselssystem."

I Western Beaver's tilfælde burde der være rejst flag, da skoleløbet pludselig tilføjede 42 personer til lønnen på steder som langt væk som Californien og Puerto Rico i løbet af juleferien, og derefter begyndte at betale dem langt mere end de fleste andre på lønnen, sagde han. Ifølge domstolsansøgninger modtog ESB 74 overførselsanmodninger i løbet af fire-dages perioden, et andet rødt flag.

I sin retssag fejler Western Beaver sin bank for ikke at have "ubemærkede" røde flag. En talsmand for en ESB-bank kunne ikke nås til kommentarer.

En af grundene til, at bankerne har svært ved at spotte svigagtige ACH-transaktioner, er, at mængden af ​​penge, der bevæger sig gennem netværket, simpelthen er overvældende. ACH-netværket behandlede næsten 9 milliarder betalinger i 2002, værdiansat til mere end $ 24,4 billioner dollars. "De sidste par banker jeg arbejdede på, ville vi gå igennem det beløb, der svarer til vores nettoaktiver i løbet af et par dage," sagde West.

Så lukrativ som det kan være, er denne type ACH bedrageri ikke udbredt, ifølge til Mary Gilmeister, formand for WACHA, en nonprofit organisation, der giver information vedrørende ACH til finansielle organisationer. "Det er vigtigt, men det påvirker ikke et stort antal finansielle institutioner," sagde hun. "Finansielle institutioner lægger større vægt på det", kommunikerer med hinanden og sender advarselsflag, når bedrageriet opstår, sagde hun.

For forbrugere, der har deres bankkonti tømt af en ACH-fidus, $ 50, så længe bedrageriet rapporteres rettidigt. Men for virksomheder og andre enheder er tingene meget mere komplicerede, og om offeret skal betale kan variere fra bank til bank.

Det kan alvorligt udslette offentlighedens tillid til internetbank, sagde efterforskeren: "Vi er taler om små virksomheder, livsnerven i USA, der bliver ramt for fem eller seks tal fordi de har omfavnet online banking. "