Ciberatacantes Vazias Contas de Negócios em Minutos

Os criminosos Eles sabiam o que estavam fazendo quando atingiram o Distrito Escolar do Condado de Beaver. Eles esperaram até que os administradores da escola estivessem de férias e, durante um período de quatro dias entre 29 de dezembro e 2 de janeiro, retiraram US $ 704.610,35 do total. duas das contas bancárias do distrito escolar. A instituição financeira do Western Beaver, ESB Bank, conseguiu reverter algumas das transferências, mas o distrito escolar da Pensilvânia ficou com mais de US $ 441.000. Em 9 de julho, a Western Beaver processou a ESB para tentar recuperar o dinheiro, mas especialistas em segurança dizem que é apenas uma das muitas organizações que foram atingidas nos últimos meses por um novo e perturbador tipo de fraude financeira que muitas vezes pode deixar a vítima segurando a bolsa.

[Leia mais: Como remover malware do seu PC com Windows]

Os fraudadores estão tirando proveito da amplamente utilizada, mas obscura Rede de Automated Clearing House (ACH), para realizar seus ataques. Essa rede financeira é usada por instituições financeiras para lidar com depósitos diretos, cheques, pagamentos de contas e transferências de dinheiro entre empresas e indivíduos.

Em abril, fraudadores da ACH transferiram US $ 1,2 milhão de um importador chamado Sugar Land, Texas, chamado Unique Industrial Products. de acordo com um relatório no Houston Chronicle. Eles fizeram isso invadindo os computadores da empresa e autorizando 39 transferências para retirar o dinheiro da conta da Unique Industrial. Embora a maior parte do dinheiro tenha sido recuperada, os golpistas ganharam US $ 150.000 com o ataque - nada mal para 30 minutos de trabalho.

"A fraude da ACH continua crescendo, especialmente nesta crise econômica em que o desemprego está em níveis muito altos". Jeffery Dertz, sócio do grupo de seguros com Blackman Kallick, uma empresa de consultoria e contabilidade sediada em Chicago.

Criminosos podem ganhar milhões de dólares por dia com fraudes ACH, dizem os investigadores. E enquanto os consumidores estão protegidos contra esse tipo de fraude, as regras para corporações e organizações não são tão claras, então algumas vezes vítimas como a Western Beaver se vêem obrigadas a pagar.

A fraude geralmente começa com um e-mail de phishing direcionado., destinado a quem está encarregado do talão de cheques da empresa. Ao enganar a vítima para executar software, abrir um anexo nocivo ou visitar um site malicioso, os criminosos podem instalar softwares keylogging e roubar senhas de contas bancárias.

"Se eu puder obter suas credenciais, posso ter um pouco de diversão ", disse Robert West, ex-diretor de segurança de informações do Fifth Third Bank, que agora é CEO da consultoria de inteligência de segurança Echelon One. Ele concorda que a fraude da ACH é um problema crescente

O advogado da Western Beaver, Alfred Steff, se recusou a comentar esta história, mas em documentos judiciais o condado disse que os fraudadores usaram um vírus de computador para invadir o sistema de computadores da escola. > Freqüentemente, o software malicioso está dentro do navegador, esperando que a vítima entre no site do banco antes de entrar em ação. Então, uma vez que a vítima tenha logado, o software configura novos beneficiários e transfere dinheiro para eles - uma vez que as contas da vítima foram hackeadas, todas as necessidades do atacante são um número de roteamento e um número de conta para enviar o dinheiro para uma mula. Se duas pessoas devem assinar a transferência, os hackers acertam as duas.

As mulas também são vítimas. Eles normalmente pensam que estão fazendo um trabalho legítimo de folha de pagamento para empresas internacionais. Depois de serem recrutados em sites como o Monster.com, eles recebem uma comissão de 5 por cento se transferirem dinheiro para fora do país. Muitas vezes, quando o banco reverte a transação, eles têm que pagar.

Alguns especialistas em segurança acreditam que o fato de as mulas serem difíceis de recrutar é a única coisa que impede que esse tipo de fraude aumente no momento. A fornecedora de segurança Trusteer estima que 3% dos consumidores já estejam infectados com software de fraude financeira. "O gargalo é tirar o dinheiro das contas", disse Amit Klein, diretor de tecnologia da Trusteer.

A fraude funciona, em parte, porque a atividade de ACH fraudulenta nem sempre ativa sinais de alerta com os bancos, especialmente quando bancos regionais menores estão envolvidos, de acordo com um investigador, que pediu para não ser identificado porque está trabalhando em casos ativos. "Há um problema muito sério acontecendo", disse ele sobre a fraude da ACH. "É um sistema muito antigo e potencialmente não há muitos controles no sistema de transferência subjacente."

No caso do Western Beaver, bandeiras vermelhas deveriam ter sido levantadas quando o conselho escolar de repente adicionou 42 indivíduos à sua folha de pagamento em lugares como longe, como Califórnia e Porto Rico, durante as férias de Natal, e depois começou a pagá-los muito mais do que a maioria das outras pessoas na folha de pagamento, ele disse. De acordo com os documentos judiciais, a ESB recebeu 74 solicitações de transferência durante o período de quatro dias, outra bandeira vermelha.

Em seu processo, a Western Beaver critica seu banco por não sinalizar "não autorizado" os pedidos não autorizados. Um porta-voz do banco do ESB não pôde ser encontrado para comentar.

Um dos motivos pelos quais os bancos têm dificuldade em identificar transações fraudulentas de ACH é porque o volume de dinheiro circulando pela rede é simplesmente esmagador. A rede ACH processou quase 9 bilhões de pagamentos em 2002, avaliados em mais de US $ 24,4 trilhões de dólares. "Nos últimos bancos em que trabalhei, passamos o equivalente a nossos ativos líquidos em alguns dias", disse West.

Por mais lucrativo que seja, esse tipo de fraude da ACH não é generalizado, de acordo a Mary Gilmeister, presidente da WACHA, uma organização sem fins lucrativos que fornece informações relacionadas à ACH para organizações financeiras. "É importante, mas não está afetando um grande número de instituições financeiras", disse ela. "As instituições financeiras estão prestando mais atenção a isso", comunicando-se e enviando bandeiras de alerta quando a fraude ocorre, disse ela.

Para os consumidores que têm suas contas bancárias esvaziadas por um golpe ACH, as leis bancárias federais US $ 50, desde que a fraude seja reportada em tempo hábil. Mas para corporações e outras entidades, as coisas são muito mais complicadas, e se a vítima tem que pagar pode variar de banco para banco.

Isso poderia corroer seriamente a confiança do público no Internet Banking, disse o investigador: falando sobre as pequenas empresas, a força vital dos EUA, que estão sendo atingidas por cinco ou seis números porque adotaram o sistema bancário on-line. "