Penyerang Maya Mengosongkan Rekening Bisnis dalam Menit

Para penjahat tahu apa yang mereka lakukan ketika mereka memukul Western County County School District.

Mereka menunggu sampai administrator sekolah pergi berlibur, dan kemudian selama periode empat hari antara 29 Desember dan 2 Januari, tersedot US $ 704.610,35 dari dua rekening bank distrik sekolah. Lembaga keuangan Western Beaver, ESB Bank, berhasil membalikkan beberapa transfer, tetapi distrik sekolah Pennsylvania keluar lebih dari $ 441.000.

Pada tanggal 9 Juli, Western Beaver menggugat ESB untuk mencoba dan memulihkan uang, tetapi pakar keamanan mengatakan bahwa itu hanyalah salah satu dari banyak organisasi yang telah dipukul dalam beberapa bulan terakhir oleh jenis penipuan keuangan baru yang mengganggu yang sering dapat meninggalkan korban memegang tas.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Penipu mengambil keuntungan dari Jaringan Kliring Otomatis (ACH) yang digunakan secara luas tetapi tidak jelas untuk melakukan serangan mereka. Jaringan keuangan ini digunakan oleh lembaga keuangan untuk menangani deposito langsung, cek, pembayaran tagihan dan transfer uang tunai antara bisnis dan individu.

Pada bulan April, penipu ACH memindahkan $ 1,2 juta keluar dari Sugar Land, Texas, importir yang disebut Produk Industri Unik, menurut laporan di Houston Chronicle. Mereka melakukan ini dengan meretas komputer perusahaan dan kemudian memberi otorisasi 39 transfer untuk memindahkan uang dari akun Unik Industri. Meskipun sebagian besar uang itu diperoleh kembali, para penipu mendapatkan $ 150.000 dari serangan itu - tidak buruk selama 30 menit kerja.

"Kecurangan ACH terus tumbuh, terutama dalam kemerosotan ekonomi saat ini di mana pengangguran berada pada tingkat yang sangat tinggi," kata Jeffery Dertz, mitra dalam kelompok praktik asuransi dengan Blackman Kallick, firma akuntansi dan konsultan yang berbasis di Chicago.

Para penjahat dapat menghasilkan jutaan dolar per hari dengan penipuan ACH, kata para peneliti. Dan sementara konsumen dilindungi dari jenis penipuan ini, aturan untuk perusahaan dan organisasi tidak jelas, jadi terkadang korban seperti Western Beaver mendapati diri mereka harus membayar.

Penipuan biasanya dimulai dengan email phishing yang ditargetkan, ditujukan kepada siapa pun yang bertanggung jawab atas buku cek perusahaan. Dengan menipu korban untuk menjalankan perangkat lunak, membuka lampiran berbahaya atau mengunjungi situs Web berbahaya, para penjahat dapat menginstal perangkat lunak keylogging dan mencuri kata sandi akun bank.

"Jika saya bisa mendapatkan kredensial mereka maka saya dapat memiliki bersenang-senang, "kata Robert West, mantan kepala petugas keamanan informasi di Fifth Third Bank, yang sekarang adalah CEO konsultan intelijen keamanan Eselon One. Dia setuju bahwa kecurangan ACH adalah masalah yang terus berkembang

Pengacara Western Beaver, Alfred Steff, menolak berkomentar untuk cerita ini, tetapi di pengadilan mengajukan county mengatakan bahwa penipu menggunakan virus komputer untuk meretas ke sistem komputer dewan sekolah.

Seringkali perangkat lunak berbahaya berada di dalam browser, menunggu korban untuk masuk ke situs bank sebelum beraksi. Kemudian, setelah korban masuk, perangkat lunak menyiapkan penerima pembayaran baru dan mentransfer uang kepada mereka - setelah akun korban diretas, semua yang dibutuhkan penyerang adalah nomor perutean dan nomor akun untuk mengirim uang tunai ke bagal uang. Jika dua orang harus menandatangani transfer, para peretas memukul keduanya.

Keledai juga menjadi korban. Mereka biasanya berpikir mereka melakukan pekerjaan penggajian yang sah untuk perusahaan internasional. Setelah direkrut di situs-situs seperti Monster.com, mereka diberitahu bahwa mereka harus mempertahankan komisi 5 persen jika mereka memindahkan uang ke luar negeri. Seringkali ketika bank membalikkan transaksi, mereka harus membayar.

Beberapa ahli keamanan percaya bahwa fakta bahwa keledai sulit untuk merekrut adalah satu-satunya hal yang menjaga penipuan jenis ini dari meroket sekarang. Vendor keamanan Trusteer memperkirakan bahwa 3 persen konsumen sudah terinfeksi dengan perangkat lunak penipuan keuangan. "Kemacetan adalah mengeluarkan uang dari rekening," kata Amit Klein, kepala perwira teknologi Trusteer.

Penipuan itu sebagian karena kegiatan ACH curang tidak selalu memicu bendera merah, terutama ketika bank-bank regional yang lebih kecil dilibatkan, menurut seorang penyelidik, yang meminta untuk tidak diidentifikasi karena ia bekerja pada kasus-kasus aktif. "Ada masalah yang sangat serius terjadi," katanya tentang penipuan ACH. "Ini sistem yang sangat tua dan ada potensi tidak banyak kontrol dalam sistem transfer yang mendasarinya."

Dalam kasus Western Beaver, bendera merah seharusnya dinaikkan ketika dewan sekolah tiba-tiba menambahkan 42 individu ke daftar gaji di tempat-tempat seperti jauh seperti California dan Puerto Rico selama liburan Natal, dan kemudian mulai membayar mereka jauh lebih banyak daripada kebanyakan orang lain dalam daftar gaji, katanya. Menurut arsip pengadilan, ESB menerima 74 permintaan transfer selama periode empat hari, bendera merah lainnya.

Dalam gugatannya, Western Beaver menyalahkan banknya karena gagal memenuhi permintaan "tidak sah". Seorang juru bicara bank ESB tidak dapat dihubungi untuk memberikan komentar.

Salah satu alasan bahwa bank-bank mengalami kesulitan untuk menemukan transaksi penipuan ACH adalah karena volume uang yang bergerak melalui jaringan benar-benar luar biasa. Jaringan ACH memproses hampir 9 miliar pembayaran pada tahun 2002, senilai lebih dari $ 24,4 triliun dolar. "Beberapa bank terakhir saya bekerja, kami akan melalui setara dengan aset bersih kami dalam beberapa hari," kata West.

Meskipun mungkin, jenis penipuan ACH ini tidak meluas, menurut kepada Mary Gilmeister, presiden WACHA, sebuah organisasi nirlaba yang memberikan informasi yang berkaitan dengan ACH kepada organisasi keuangan. "Ini penting, tetapi itu tidak mempengaruhi sejumlah besar lembaga keuangan," katanya. "Lembaga keuangan lebih memperhatikannya," berkomunikasi satu sama lain dan mengirim bendera peringatan ketika penipuan terjadi, katanya.

Untuk konsumen yang memiliki rekening bank mereka dikosongkan oleh scam ACH, peraturan perbankan federal membatasi kewajiban di $ 50, selama penipuan dilaporkan tepat waktu. Tetapi untuk perusahaan dan entitas lain, hal-hal jauh lebih rumit, dan apakah korban harus membayar dapat bervariasi dari bank ke bank.

Itu dapat secara serius mengikis kepercayaan publik terhadap internet banking, penyelidik mengatakan: "Kami berbicara tentang usaha kecil, urat nadi AS, yang tertabrak untuk lima atau enam angka karena mereka telah merangkul perbankan online. "