Cyber ​​Attackers Comptes d'affaires vides en minutes

Les criminels

Ils attendaient que les administrateurs de l'école soient partis en vacances, puis pendant une période de quatre jours entre le 29 décembre et le 2 janvier, ils siphonnaient 704.610,35 $ US sur deux des comptes bancaires du district scolaire. L'institution financière de Western Beaver, ESB Bank, a réussi à inverser certains transferts, mais le district scolaire de Pennsylvanie s'élevait à plus de 441 000 $.

Le 9 juillet, Western Beaver a poursuivi ESB pour tenter de récupérer l'argent. Ce n'est que l'une des nombreuses organisations qui ont été touchées ces derniers mois par un nouveau type inquiétant de fraude financière qui peut souvent laisser la victime en main.

[Plus d'informations: Comment supprimer les logiciels malveillants sur votre PC Windows]

Les fraudeurs profitent du réseau ACH (Automated Clearing House), très utilisé mais obscur, pour lancer leurs attaques. Ce réseau financier est utilisé par les institutions financières pour gérer les dépôts directs, les chèques, les paiements de factures et les transferts d'argent entre entreprises et particuliers.

En avril, les fraudeurs d'ACH ont transféré 1,2 million de dollars d'un importateur de Sugar Land au Texas. selon un rapport dans le Houston Chronicle. Ils l'ont fait en piratant les ordinateurs de l'entreprise et en autorisant 39 transferts pour retirer l'argent du compte de Unique Industrial. Bien que la plus grande partie de l'argent ait été récupérée, les escrocs ont gagné 150 000 $ - pas mal pour 30 minutes de travail.

"La fraude ACH continue de croître, surtout dans le contexte économique actuel où le chômage est très élevé" a déclaré Jeffery Dertz, un partenaire dans le groupe de pratique d'assurance avec Blackman Kallick, une société de conseil et de comptabilité basée à Chicago.

Les criminels peuvent faire des millions de dollars par jour avec la fraude ACH, disent les enquêteurs. Et même si les consommateurs sont protégés contre ce type de fraude, les règles applicables aux sociétés et aux organisations ne sont pas aussi claires, de sorte que des victimes comme Western Beaver doivent parfois payer.

La fraude commence généralement par un courriel d'hameçonnage ciblé, destiné à celui qui est en charge du chéquier de l'entreprise. En incitant la victime à exécuter un logiciel, à ouvrir une pièce jointe dangereuse ou à visiter un site Web malveillant, les criminels peuvent installer un logiciel de frappe et voler des mots de passe de compte bancaire.

«Si je peux obtenir leurs informations d'identification, je peux », a déclaré Robert West, ancien chef de la sécurité de l'information à la Fifth Third Bank, qui est maintenant chef de la direction du cabinet de renseignement de sécurité Echelon One. Alfred Steff, l'avocat de Western Beaver, a refusé de commenter cette histoire, mais dans les dossiers judiciaires, le comté a déclaré que les fraudeurs utilisaient un virus informatique pour pirater le système informatique de la commission scolaire.

Souvent, le logiciel malveillant se trouve directement dans le navigateur, attendant que la victime se connecte à un site bancaire avant de passer à l'action. Ensuite, une fois la victime connectée, le logiciel installe de nouveaux bénéficiaires et leur transfère de l'argent - une fois que les comptes de la victime ont été piratés, tous les besoins de l'attaquant sont un numéro de routage et un numéro de compte.. Si deux personnes doivent signer le transfert, les hackers les ont tous les deux

. Les mules sont aussi des victimes. Ils pensent généralement qu'ils font un travail de paie légitime pour les entreprises internationales. Après avoir été recrutés sur des sites tels que Monster.com, on leur dit qu'ils peuvent garder une commission de 5% s'ils transfèrent de l'argent hors du pays. Souvent, quand la banque inverse la transaction, ils doivent payer.

Certains experts en sécurité estiment que le fait que les mules soient difficiles à recruter est la seule chose qui empêche ce type de fraude de monter en flèche en ce moment. Le fournisseur de sécurité Trusteer estime que 3% des consommateurs sont déjà infectés par un logiciel de fraude financière. "Le goulot d'étranglement est de sortir l'argent des comptes", a déclaré Amit Klein, chef de la technologie de Trusteer.

La fraude fonctionne, en partie, parce que l'activité ACH frauduleuse ne déclenche pas toujours des signaux d'alarme avec les banques, surtout lorsque des banques régionales plus petites sont impliquées, selon un enquêteur qui a demandé à ne pas être identifié parce qu'il travaille sur des cas actifs. "Il y a un problème très sérieux", a-t-il dit à propos de la fraude ACH. «C'est un système très ancien et il n'y a potentiellement pas beaucoup de contrôles dans le système de transfert sous-jacent.»

Dans le cas de Western Beaver, des drapeaux rouges auraient dû être levés lorsque la commission scolaire a soudainement ajouté 42 personnes à sa liste de paie. loin comme la Californie et Porto Rico pendant les vacances de Noël, et a ensuite commencé à les payer beaucoup plus que la plupart des autres personnes sur la masse salariale, at-il dit. Selon les documents déposés par le tribunal, ESB a reçu 74 demandes de transfert au cours de la période de quatre jours, un autre drapeau rouge.

Dans sa poursuite, Western Beaver reproche à sa banque de ne pas avoir signalé les demandes non autorisées. Un porte-parole de la banque ESB n'a pas pu être joint pour commenter.

L'une des raisons pour lesquelles les banques ont du mal à repérer les transactions ACH frauduleuses est que le volume d'argent circulant dans le réseau est tout simplement écrasant. Le réseau ACH a traité près de 9 milliards de paiements en 2002, évalués à plus de 24,4 billions de dollars. "Les deux dernières banques où j'ai travaillé, nous passerions l'équivalent de nos actifs nets dans quelques jours", a déclaré West.

Aussi lucrative que cela puisse être, ce type de fraude ACH n'est pas répandue, selon à Mary Gilmeister, présidente de WACHA, une organisation à but non lucratif qui fournit des informations relatives à ACH aux organisations financières. "C'est important, mais cela n'affecte pas un grand nombre d'institutions financières", a-t-elle déclaré. Les institutions financières y prêtent plus d'attention, communiquant entre elles et envoyant des signaux d'alerte lorsque la fraude se produit, dit-elle.

Pour les consommateurs dont les comptes bancaires sont vidés par une escroquerie ACH, la réglementation bancaire fédérale 50 $, tant que la fraude est signalée en temps opportun. Mais pour les entreprises et autres entités, les choses sont beaucoup plus compliquées, et la question de savoir si la victime doit payer varie d'une banque à l'autre.

Cela pourrait gravement miner la confiance du public dans les services bancaires par Internet. parler des petites entreprises, la force vitale des États-Unis, qui sont frappés pour cinq ou six chiffres parce qu'ils ont embrassé la banque en ligne. "