Cyber-Angreifer leeren Geschäftskonten in Minuten

Die Verbrecher Sie wussten, was sie taten, als sie den Schulbezirksbezirk Westbeaver County erreichten.

Sie warteten, bis die Schulverweser in Urlaub waren, und dann innerhalb von vier Tagen zwischen dem 29. Dezember und dem 2. Januar 704.610,35 US-Dollar ausbezahlt zwei Bankkonten des Schulbezirks. Western Beaver's Finanzinstitut, ESB Bank, schaffte es, einige der Transfers rückgängig zu machen, aber der Pennsylvania Schulbezirk war mehr als $ 441.000.

Am 9. Juli verklagte Western Beaver ESB, um das Geld zurückzugewinnen, aber Sicherheitsexperten sagen das Es ist nur eine von vielen Organisationen, die in den letzten Monaten von einem beunruhigenden neuen Typ von Finanzbetrug betroffen wurden, der das Opfer oft zurücklassen kann.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows PC]

Betrüger nutzen das weit verbreitete, aber obskure Automated Clearing House (ACH) -Netzwerk, um ihre Angriffe durchzuführen. Dieses Finanznetzwerk wird von Finanzinstituten verwendet, um direkte Einzahlungen, Schecks, Rechnungszahlungen und Geldtransfers zwischen Unternehmen und Privatpersonen abzuwickeln.

ACH-Betrüger haben im April 1,2 Millionen US-Dollar aus einem Importeur namens Unique Industrial Products aus Sugar Land, Texas, transferiert. nach einem Bericht im Houston Chronicle. Sie taten dies, indem sie sich in die Computer des Unternehmens einklinkten und dann 39 Übertragungen autorisierten, um das Geld aus Unique Industrials Konto zu entfernen. Obwohl der Großteil des Geldes zurückgezahlt wurde, machten Betrüger $ 150.000 durch den Angriff - nicht schlecht für 30 Minuten Arbeit.

"ACH-Betrug wächst weiter, besonders in diesem aktuellen Wirtschaftsabschwung, wo die Arbeitslosigkeit sehr hoch ist" sagte Jeffery Dertz, ein Partner in der Versicherungspraxisgruppe mit Blackman Kallick, einem in Chicago ansässigen Buchhaltungs- und Beratungsunternehmen.

Kriminelle können mit ACH-Betrug Millionen von Dollar pro Tag verdienen, sagen Ermittler. Während die Verbraucher vor dieser Art von Betrug geschützt sind, sind die Regeln für Unternehmen und Organisationen nicht so eindeutig, weshalb Opfer wie Western Beaver manchmal zahlen müssen.

Der Betrug beginnt in der Regel mit einer gezielten Phishing-E-Mail, richtet sich an alle, die für das Scheckbuch des Unternehmens verantwortlich sind. Indem sie das Opfer in die laufende Software tricksen lassen, einen schädlichen Anhang öffnen oder eine bösartige Website besuchen, können die Kriminellen Keylogging-Software installieren und Bankkontokennwörter stehlen.

"Wenn ich ihre Zugangsdaten bekommen kann, kann ich sie haben ein bisschen Spaß ", sagte Robert West, ehemaliger Chief Information Security Officer bei Fifth Third Bank, der heute CEO der Security Intelligence-Beratungsfirma Echelon One ist. Er stimmt zu, dass ACH-Betrug ein wachsendes Problem ist.

Der Anwalt von Western Beaver, Alfred Steff, lehnte es ab, sich zu dieser Geschichte zu äußern, aber in Gerichtsakten sagte der Bezirk, dass Betrüger einen Computervirus benutzten, um sich in das Computersystem des Schulvorstandes zu hacken > Oft liegt die Schadsoftware direkt im Browser und wartet darauf, dass sich das Opfer auf einer Bankseite anmeldet, bevor es in Aktion tritt. Sobald sich das Opfer eingeloggt hat, richtet die Software neue Zahlungsempfänger ein und überweist Geld an sie - sobald die Konten des Opfers gehackt sind, ist alles, was der Angreifer benötigt, eine Bankleitzahl und eine Kontonummer, um das Geld an ein Geldmulti zu senden. Wenn sich zwei Personen bei der Übertragung abmelden müssen, treffen die Hacker beide.

Auch die Maultiere sind Opfer. Sie denken normalerweise, dass sie legitime Lohnarbeit für internationale Unternehmen leisten. Nachdem sie auf Seiten wie Monster.com rekrutiert wurden, wird ihnen gesagt, dass sie eine Provision von 5 Prozent behalten, wenn sie Geld aus dem Land bewegen. Oft, wenn die Bank die Transaktion storniert, müssen sie bezahlen.

Einige Sicherheitsexperten glauben, dass die Tatsache, dass Maultiere schwer zu rekrutieren sind, das einzige ist, was diese Art von Betrug im Moment nicht in den Himmel treibt. Der Sicherheitsanbieter Trusteer schätzt, dass 3 Prozent der Verbraucher bereits mit Software für Finanzbetrug infiziert sind. "Der Engpass bringt das Geld aus den Konten", sagte Amit Klein, Trusteers Chief Technology Officer.

Der Betrug funktioniert zum Teil deshalb, weil betrügerische ACH-Aktivitäten nicht immer rote Fahnen bei den Banken auslösen, besonders wenn kleinere regionale Banken beteiligt sind, so ein Ermittler, der nicht identifiziert werden wollte, weil er an aktiven Fällen arbeitet. "Es gibt ein sehr ernstes Problem", sagte er über den ACH-Betrug. "Es ist ein sehr altes System und es gibt potentiell nicht viele Kontrollen im zugrunde liegenden Transfersystem."

Im Fall von Western Beaver hätten die roten Flaggen ausgelöst werden müssen, als die Schulbehörde an ihrer Stelle plötzlich 42 Personen in ihre Gehaltsliste aufgenommen hat so weit weg wie Kalifornien und Puerto Rico während seiner Weihnachtspause, und fing dann an, sie weit mehr als die meisten anderen Leute auf der Gehaltsliste zu zahlen, sagte er. Laut Gerichtsakten erhielt die ESB während der viertägigen Frist 74 Übermittlungsanträge, eine weitere rote Flagge.

Western Beaver weist in seiner Klage die Bank des Landes dafür zurück, dass sie nicht autorisierte Anfragen "nicht markiert" hat. Ein ESB-Bankensprecher konnte nicht für einen Kommentar erreicht werden.

Ein Grund, warum es Banken schwer fällt, betrügerische ACH-Transaktionen zu entdecken, liegt darin, dass das Geldvolumen, das durch das Netzwerk fließt, einfach überwältigend ist. Das ACH-Netzwerk wickelte im Jahr 2002 fast 9 Milliarden Zahlungen im Wert von mehr als 24,4 Billionen US-Dollar ab. "Bei den letzten paar Banken, bei denen ich gearbeitet habe, würden wir in ein paar Tagen das Äquivalent unseres Nettovermögens durchgehen", sagte West.

So lukrativ es auch sein mag, diese Art von ACH-Betrug ist nicht weit verbreitet an Mary Gilmeister, Präsidentin von WACHA, einer gemeinnützigen Organisation, die Finanzorganisationen Informationen über ACH zur Verfügung stellt. "Es ist wichtig, aber es betrifft nicht eine große Anzahl von Finanzinstituten", sagte sie. "Finanzinstitute achten mehr darauf", sie kommunizieren miteinander und senden Warnflaggen, wenn der Betrug auftritt, sagte sie.

Für Verbraucher, die ihre Bankkonten durch einen Betrug mit ACH geleert haben, beschränken die Bundesbankbestimmungen die Haftung bei $ 50, solange der Betrug rechtzeitig gemeldet wird. Aber für Unternehmen und andere Entitäten sind die Dinge viel komplizierter, und ob das Opfer zahlen muss, kann von Bank zu Bank variieren.

Das Vertrauen der Öffentlichkeit in das Internet-Banking könnte ernstlich zerstört werden, sagte der Ermittler über kleine Unternehmen, die Lebensader der USA, die für fünf oder sechs Zahlen getroffen werden, weil sie Online-Banking akzeptiert haben. "