Cyberaanvalnemers lege bedrijfsaccounts in enkele minuten

De criminelen wisten wat ze aan het doen waren toen ze het Western Beaver County School District bereikten.

Ze wachtten totdat schoolbestuurders weg waren op vakantie en gedurende een periode van vier dagen tussen 29 december en 2 januari US $ 704.610,35 kwijt twee van de bankrekeningen van het schooldistrict. De financiële instelling van Western Beaver, ESB Bank, wist een deel van de overdrachten terug te draaien, maar het schooldistrict van Pennsylvania was meer dan $ 441.000.

Op 9 juli klaagde Western Beaver ESB aan om te proberen het geld terug te krijgen, maar veiligheidsexperts zeggen dat het is slechts een van de vele organisaties die de afgelopen maanden zijn getroffen door een verontrustende nieuwe vorm van financiële fraude die vaak het slachtoffer in de hand kan houden.

[Meer informatie: hoe u malware van uw Windows-pc verwijdert]

Fraudeurs maken misbruik van het veelgebruikte maar obscure ACH-netwerk (Automated Clearing House) om hun aanvallen te plegen. Dit financiële netwerk wordt gebruikt door financiële instellingen om directe stortingen, cheques, factuurbetalingen en contante geldovermakingen tussen bedrijven en particulieren af ​​te handelen.

In april hebben ACH-fraudeurs $ 1,2 miljoen verplaatst uit een Sugar Land, Texas, importeur met de naam Unique Industrial Products, volgens een rapport in de Houston Chronicle. Ze deden dit door de computers van het bedrijf te hacken en vervolgens 39 overschrijvingen goed te keuren om het geld uit het account van Unique Industrial te verwijderen. Hoewel het grootste deel van het geld werd teruggevorderd, verdienden oplichters $ 150.000 van de aanval - niet slecht voor 30 minuten werk.

"ACH-fraude blijft groeien, vooral in deze huidige economische neergang, waar de werkloosheid op een zeer hoog niveau is," zei Jeffery Dertz, een partner in de verzekeringspraktijkgroep met Blackman Kallick, een in Chicago gevestigd boekhoud- en adviesbureau.

De fraude begint meestal met een gerichte phishing-e-mail, gericht op de persoon die verantwoordelijk is voor het chequeboek van het bedrijf. Door het slachtoffer af te luisteren naar draaiende software, een schadelijke bijlage te openen of een schadelijke website te bezoeken, kunnen de criminelen keylogging-software installeren en wachtwoorden voor bankrekeningen stelen.

"Als ik hun inloggegevens kan achterhalen, kan ik wat leuks, "zei Robert West, de voormalige chief information security officer bij Fifth Third Bank, die nu CEO is van Eukson One, veiligheidsagentschapsbureau. Hij is het ermee eens dat ACH-fraude een groeiend probleem is

Western Beaver's advocaat, Alfred Steff, weigerde commentaar te geven op dit verhaal, maar in de rechtszaken meldde de county dat fraudeurs een computervirus gebruikten om het computersysteem van het schoolbestuur te hacken.

Vaak ligt de schadelijke software in de browser en wacht hij tot het slachtoffer zich op een bankwebsite aanmeldt voordat hij in actie komt. Wanneer het slachtoffer zich eenmaal heeft aangemeld, stelt de software nieuwe begunstigden in en worden er geld aan overgedragen - zodra de accounts van het slachtoffer zijn gehackt, heeft de aanvaller een routeringsnummer nodig en een rekeningnummer om het geld naar een geldmuleel te sturen.. Als twee mensen de overdracht moeten ondertekenen, slaan de hackers ze allebei.

De ezels zijn ook slachtoffers. Ze denken meestal dat ze legitieme payroll werken voor internationale bedrijven. Nadat ze zijn gerekruteerd op sites zoals Monster.com, krijgen ze te horen dat ze een commissie van 5 procent kunnen behouden als ze geld het land uit gaan. Vaak als de bank de transactie terugdraait, moeten ze betalen. Sommige beveiligingsdeskundigen zijn van mening dat het feit dat ezels moeilijk te werven zijn het enige is dat dit type fraude op dit moment omhoog schiet. Beveiligingsleverancier Trusteer schat dat 3 procent van de consumenten al besmet is met software voor financiële fraude. "Het knelpunt is om het geld uit de rekeningen te krijgen," zei Amit Klein, de technologie-officier van Trusteer.

De fraude werkt gedeeltelijk omdat frauduleuze ACH-activiteit niet altijd leidt tot rode vlaggen bij de banken, vooral als er kleinere regionale banken bij betrokken zijn, volgens een onderzoeker die vroeg om niet te worden geïdentificeerd omdat hij aan actieve zaken werkt. "Er is een heel ernstig probleem aan de gang," zei hij over de ACH-fraude. "Het is een heel oud systeem en er zijn mogelijk niet veel besturingselementen in het onderliggende overdrachtssysteem."

In het geval van Western Beaver hadden rode vlaggen moeten worden verhoogd toen het schoolbestuur plotseling 42 personen aan zijn loonlijst toevoegde op plaatsen als ver weg als Californië en Puerto Rico tijdens zijn kerstvakantie, en begon ze vervolgens veel meer te betalen dan de meeste andere mensen op de loonlijst, zei hij. Volgens de rechtbank diende ESB 74 overdrachtverzoeken in gedurende de periode van vier dagen, een andere rode vlag.

In zijn rechtszaak betrapt Western Beaver zijn bank voor het niet-geautoriseerde aanvragen van "rode vlag". Een woordvoerder van de ESB-bank kon niet worden bereikt voor commentaar. Een van de redenen waarom banken moeite hebben om frauduleuze ACH-transacties te vinden, is omdat het volume geld dat door het netwerk beweegt gewoon overweldigend is. Het ACH-netwerk verwerkte in 2002 bijna 9 miljard betalingen, met een waarde van meer dan $ 24,4 biljoen dollar. "De laatste paar banken waar ik werkte, zouden we binnen een paar dagen het equivalent van onze nettoactiva doormaken", zei West.

Hoe lucratief het ook mag zijn, dit type ACH-fraude is niet wijdverspreid, volgens aan Mary Gilmeister, president van WACHA, een non-profitorganisatie die informatie verstrekt over ACH aan financiële organisaties. "Het is belangrijk, maar het heeft geen invloed op een groot aantal financiële instellingen," zei ze. "Financiële instellingen besteden er meer aandacht aan", zegt ze.

Voor consumenten die hun bankrekeningen hebben laten leeglopen door een oplichtingsfout van ACH, is federale bankwetgeving niet langer aansprakelijk $ 50, zolang de fraude tijdig wordt gemeld. Maar voor bedrijven en andere entiteiten is het een stuk gecompliceerder en of het slachtoffer moet betalen, kan van bank tot bank verschillen.

Dat kan het vertrouwen van het publiek in internetbankieren ernstig aantasten. De onderzoeker zei: "We zijn praten over kleine bedrijven, de levensader van de VS, die worden geraakt voor vijf of zes cijfers omdat ze online bankieren hebben omarmd. "