FBI warnt vor 100 Millionen Dollar Cyber-Bedrohung für kleine Unternehmen

Cyberthieves hacken jede Woche in kleine und mittelgroße Organisationen ein und stehlen Millionen von Dollar in einem laufenden Betrug, der US-amerikanische Bankkonten um 100 Millionen Dollar bewegt hat, warnte das US Federal Bureau of Investigation am Dienstag.

Es ist jetzt eines der größten Probleme, die von der Nationalen Cyber ​​Forensics and Training Alliance (NCFTA) angegangen werden, die mit dem FBI und der Industrie zusammenarbeitet, um Informationen über Cyber-Angriffe auszutauschen, so der NCFTA Executive Director Ron Plesco. "Jedes Jahr scheint es einen Trend zu geben, und dies war der Trend in diesem Jahr", sagte er.

Es gab einen "signifikanten Anstieg" des sogenannten ACH-Betrugs in den letzten Monaten Das FBI, das auf kleine Unternehmen, Kommunalverwaltungen und Schulen abzielte, sagte in einer Warnung auf seiner Website.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Die Kriminellen können Tausende oder sogar Millionen bewegen von Dollars aus den Konten ihrer Opfer sehr schnell, unter Verwendung von Online-Banking, um neue Zahlungsempfänger zu dem Bankkonto der Organisation hinzuzufügen und dann das Geld über Nacht zu bewegen. In der Regel ist der erste Schritt eine E-Mail an den Buchhalter oder Finanzbeamten des Unternehmens, in der schädliche Anhänge enthalten sein können, die wie Microsoft-Software-Patches aussehen oder einfach nur Links zu schädlichen Websites enthalten. Die Idee ist, die Keylogging-Software des Kriminellen auf einen Computer mit Online-Banking-Zugang zu bringen und dann die Anmeldedaten zu stehlen.

Sobald die Hacker Zugriff auf das Bankkonto haben, richten sie ACH-Überweisungen an Geldmulti - typisch unschuldige Opfer, die denken Sie erledigen Gehaltsabrechnungen für internationale Unternehmen - die dann das Geld über Dienste wie Western Union und Moneygram ins Ausland transferieren.

In einem Fall starteten die Kriminellen sogar einen verteilten Denial-of-Service-Angriff gegen einen ACH-Prozessor verhindern, dass die Bank Transfers zurücksendet, bevor die Geldpolizisten sie ins Ausland bringen konnten.

Sobald das Geld außer Landes ist, ist es für immer verschwunden.

Kriminelle bevorzugen kleinere Organisationen wie Schulbehörden, weil sie dazu neigen, damit zu arbeiten kleinere regionale Banken, die möglicherweise nicht über die Betrugserkennungskontrollen verfügen, um diese gefälschten ACH-Überweisungen zu stoppen. Diese Organisationen veröffentlichen häufig Kontaktinformationen für Finanzpersonal oder sogar Organigramme, die auf ihren Websites veröffentlicht werden, so dass sie für Betrüger leicht zu finden sind.

Laut einem Bericht des Internet Crime Complaint Centre (IC3) des FBI, Banken und Finanzdienstleistern sind oft ein Teil des Problems. Auf der Grundlage von FBI-Interviews kam das IC3 zu dem Schluss, dass "Banken in einigen Fällen keine richtigen Firewalls oder Antiviren-Software auf ihren Servern oder ihren Desktop-Computern installiert hatten. Der Mangel an Tiefenverteidigung auf der Ebene kleinerer Einrichtungen / Diensteanbieter hat eine Bedrohung für das ACH-System geschaffen. "

Das FBI eröffnet durchschnittlich jede Woche neue Fälle, sagte der IC3. "Seit Oktober 2009 sind ca. 100 Millionen US-Dollar versuchter Schaden entstanden."

Die NCFTA verzeichnet wöchentlich zwischen 1 Million und 1,5 Millionen Dollar Verluste bei dieser Art von Betrug, so Ron Plesco, Executive Director der NCFTA. "Das kommt nur von den Leuten, mit denen wir zu tun haben. Wir denken, dass es größer ist.", Fügte er hinzu.

Kleinere Banken sind von diesem Betrug betroffen, weil sie im Gegensatz zu den größeren nationalen Banken die Kontrolle nicht haben Ort, um betrügerische ACH-Transfers zu blockieren, sagte Plesco. "Es handelt sich um eine strategische Ausrichtung auf das, was als Schwachstelle bei Kontrollen wahrgenommen wird, sei es auf der kleinen oder auf der kleinen bis mittleren Bankebene."

Die Banken decken einige ACH-Verluste ab, aber nur allzu oft der Online-Kunde, der die Tasche in der Hand hält.

Karen Earhart fand am Morgen des 15. Oktober heraus, wie schnell Geld verschwinden kann. Earhart, der Administrator der Plainview Christian Academy in Plainview, Texas, kam am Donnerstagmorgen zur Arbeit zu entdecken, dass 43.000 Dollar über Nacht vom ACH-Konto der Schule auf acht Konten überwiesen wurden.

"Die Hacker haben sich unserer Gehaltsliste hinzugefügt", sagte sie. Einige der neuen Zahlungsempfänger waren echte Leute, aber einige waren auf neu eröffneten Bankkonten mit gefälschten "russischen" klingenden Namen. Die Namen enthielten Wörter wie "Gotcha", "Stinktier" und "Streich", sagte sie.

Wenn neue Angestellte der Gehaltsliste der Schule hinzugefügt werden, müssen sie einen ungültigen Scheck normalerweise ausfüllen und ein Gehaltsberechtigungsformular ausfüllen. Earhart war erstaunt, dass die Hacker ohne diese Dokumentation Zahlungsempfänger online hinzufügen konnten - und dass die Bank bereit war, sie zu bezahlen. "Sie waren bereit, 10.000 $ pro Person an Leute zu senden, die nicht berechtigt waren, auf unserer Gehaltsliste zu stehen.", Sagte sie.

Earhart kontaktierte sofort die Bank der Schule und obwohl die meisten Transaktionen rückgängig gemacht wurden, ist die Plainview Academy immer noch nicht verfügbar $ 16.000 von dem Betrug. Das ist eine beträchtliche Menge Geld für eine kleine Schule mit einem jährlichen Budget im $ 1 Million Bereich, sagte Earhart.

Andere Opfer haben geklagt und gesagt, dass ihre Banken die betrügerischen Überweisungen nie autorisiert hätten. Am 9. Juli verklagte der Western Beaver County School District die ESB Bank, nachdem Kriminelle während der Weihnachtsferien 2008 704.610,35 Dollar von den Bankkonten der Schule abgezogen hatten. Ein Teil des Geldes wurde zurückgeholt, aber die Pennsylvania School District verlor am Ende des Tages mehr als $ 441.000.

Plainview hat jetzt einen neuen Laptop gekauft, den er nur für Online-Banking verwendet - keine E-Mail, nein Surfen im Internet Earhart hofft, dass dies ausreichen wird, um weiteren Betrug zu verhindern. "Ich weiß nicht, was wir sonst noch tun können, außer Papierschecks auszuhändigen und Bargeld zu verwenden."