Computers vergeten, telefooncriminaliteit maakt zich zorgen over banken

Computerfraude kan groot zijn probleem voor banken van vandaag, maar de telefoon wordt een cruciaal hulpmiddel voor fraudeurs, zeggen bankdirecteuren.

Naast het bellen van klanten over verdachte transacties, gebruiken banken ook SMS (Short Message Service) om klanten te vragen contact met hen op te nemen. Fraudeurs zijn dus begonnen verschillende technieken te gebruiken om te proberen de banken te misleiden door te denken dat ze via de telefoon met legitieme klanten communiceren. "Call-center authenticatie is voor mij het grootste pijnpunt op dit moment", zei Stan Szwalbenest, remote channel risk director bij JP Morgan Chase, sprekend op de RSA-conferentie in San Francisco deze week.

Malware, phishing en cyberaanvallen Er wordt misschien over gepraat, maar "we moeten onszelf nooit voor de gek houden door te denken dat dit de enige plaats is waar [misdaad gebeurt]", zei hij. "De grootste risico's die ik zie, zijn social engineering, en dat is precies hoe de oplichters binnenkomen."

Social engineering-aanvallen komen voor wanneer fraudeurs bankklanten of werknemers misleiden tot het verspreiden van gevoelige informatie, meestal door te doen alsof ze iemand zijn die ze niet zijn.

Soms zullen fraudeurs een bankrekening hacken en het telefoonnummer van de klant wijzigen. Wanneer een verdachte transactie op de rekening wordt geplaatst, belt de bank de fraudeur in plaats van de klant.

Op cybercriminaliteitsforums is er zelfs een functie voor mensen die dit doen: bevestigen. "Er zijn bedrijven die zich erin specialiseren", zegt David Shroyer, senior vice-president voor online beveiliging en inschrijving bij Bank of America. Fraudeurs verkopen de diensten van mensen die over de talenkennis beschikken om legitieme klanten na te bootsen, bijvoorbeeld door vier mannen en zes vrouwen die Engels spreken, één met een Spaans accent. "Ze zeggen: 'We kunnen het telefoonnummer waarop uw echte klant belt, vergelijken', zei hij.

In een andere zwendel activeren criminelen automatische doorschakelfuncties om in wezen de telefoonlijnen van hun slachtoffer over te nemen voor een periode van tijd.

"Ze passen zich aan aan onze adoptie van verschillende technologie en verschillende authenticatiemethoden", aldus Shroyer. Grote banken zoals JP Morgan hebben met telecommunicatiebedrijven gewerkt om vervalste oproepen te identificeren recente uitbarsting van zogenaamde swatting attacks, waarbij hackers 911 bellen van vervalste nummers om de politie te misleiden naar het uitzenden van noodhulpteams, heeft de Amerikaanse Federal Communicaions Commission recentelijk meer belangstelling getoond voor het spoofing van telefoongesprekken, aldus Szwalbenest.

Criminelen zijn ook goedkope bedrijfstelefoonsystemen gebruiken om hun geautomatiseerde callcenters te beheren. Ze zullen sms'en, e-mailen en sms'en naar slachtoffers die hen vertellen dat ze nepnummers moeten bellen in de hoop dat slachtoffers denken dat ze een echte bank bellen en rekeningnummers en wachtwoorden verstrekken.

Deze techniek is de laatste tijd 'vishing' genoemd. " Maar in werkelijkheid is het al decennialang gebruikt door oplichters, zei Szwalbenest. "Het is social engineering, meer is het niet," zei hij. "Het bestaat al heel lang." Consumenten moeten acht op 'elke oproep', zei hij.