Computerworld News Service: En særlig type svindel har siden oktober forsøgt at trække omtrent 100 millioner dollars eller godt 500 millioner kroner ud af amerikanske bankkonti, advarer Federal Bureau of Investigation (FBI).
Det er på nuværende tidspunkt et af de problemer, der prioriteres højest af National Cyber Forensics and Training Alliance (NCFTA), som samarbejder med FBI og erhvervslivet om at dele informationer om cyberangreb, påpeger chef for NCFTA, Ron Plesco.
"Hvert år kan der påpeges en tendens, og det her må være dette års tendens," siger han.
Der har i de sidste få måneder været en "væsentlig forøgelse" i, hvad der er kendt som ACH-svindel (automated clearinghouse), som for en stor del er rettet mod små virksomheder, kommunale forvaltninger og skoler, advarer FBI i en pressemeddelelse, der er offentliggjort på USA's forbundspolitis website.
De kriminelle kan meget hurtigt flytte tusinder eller endda millioner af dollars ud af deres ofres bankkonti ved at udnytte netbanker til at føje nye betalingsmodtagere til en organisations bankkonto, og så overføre pengene fra den ene dag til den anden.
Det begynder med en e-mail
Det første skridt er som regel en e-mail til virksomhedens bogholder eller økonomidirektør, som kan indeholde skadelige vedhæftninger, der er designet til ligne opdateringer fra Microsoft, eller som linker til skadelige websites. Ideen er at få de kriminelles keylogging-software installeret på en computer, der har adgang til netbanken, og således stjæle login-oplysningerne.
Når der først er adgang til bankkontoen, kan hackerne iværksætte pengeoverførsler til såkaldte money mules - pengekurerer, som typisk selv er uskyldige ofre, der tror, de arbejder med lønningslister for internationale virksomheder - som derefter overfører pengene ud af landet via tjenester som Western Union eller Moneygram.
I et enkelt tilfælde lancerede de kriminelle endda et distribueret denial-of-service-angreb mod en sådan ACH-pengeoverførsels-tjeneste, for at forhindre banken i at tilbagekalde overførslerne, før kurerne havde nået at flytte pengene ud af landet.
Og når først pengene er ude af landet, er de væk for altid.
De kriminelle foretrækker mindre organisationer såsom skolebestyrelser, da de har det med at benytte mindre, regionale banker, der ofte ikke har tilstrækkelige mekanismer på plads til at beskytte sig med denne form for svindel. Og sådanne mindre organisationer offentliggør ofte kontaktinformationer til regnskabspersonalet eller lægger endda hele organisationsstrukturen på deres websites, hvilket gør dem til lette mål for svindlere.
En rapport fra FBI's Internet Crime Complaint Center (IC3) påviser, at bankerne og udbydere af finansielle tjenester ofte udgør en del af problemet. Baseret på interviews udført af FBI konkluderer IC3, at "i adskillige tilfælde havde bankerne ikke tilstrækkelige firewalls installeret og heller ikke antivirus-software på hverken servere eller desktop-computere. Den manglende sikkerhed hos mindre organisationer og tjenesteleverandører har skabt en trussel mod ACH-systemet."
Hackere sætter sig selv om lønningslisten
FBI åbner i gennemsnit hver uge nye sager, siger IC3:
"Siden oktober 2009 har cirka 100 millioner dollars været forsøgt stjålet."
NCFTA sporer tab på mellem fem og 7,6 millioner kroner hver uge til denne type svindel, fortæller Plesco. "Og det er bare dem, vi opdager. Vi regner med, at det reelle tal er noget højere," tilføjer han.
Især mindre banker rammes af denne type svindel, da de i modsætning til de større nationale banker ofte ikke har de kontrolmekanismer på plads, der kan blokere for ACH-svindel, forklarer Plesco.
"Det er et strategisk angreb på hvad, der anses for at være en svaghed i kontrollen, hvad enten det er i den mindre virksomhed eller i små til mellemstore banker."
Bankerne dækker visse ACH-tab, men alt for ofte er det netbank-kunden, der sidder med sorteper.
Karen Earhart fandt om morgenen den 15. oktober ud af, præcist hvor hurtigt pengene kan forsvinde ud i den blå luft. Earhart, som er administrator for Plainview Christian Academy i Plainview i Texas, mødte på arbejde den torsdag morgen og opdagede, at 43.000 dollars, 217.000 kroner, i løbet af natten var blevet flyttet fra skolens bankkonto via ACH-overførsler til otte konti.
"Hackerne havde tilføjet sig selv til vores lønningsliste," forklarer hun. Nogle af de nye betalingsmodtagere var virkelige personer, men andre var nyligt åbnede bankkonti med falske russisk-klingende navne. Disse navne indeholdte vendinger som "fik jer," "snydt" og "fusk," fortæller hun.
Når nye ansatte tilføjes skolens lønningsliste, skal de typisk levere en annulleret check og udfylde en lønningsliste-bemyndigelsesformular. Earhart var målløs over, at hackerne havde været i stand til at tilføje betalingsmodtagere online uden denne dokumentation - og at banken havde været villig til at gennemføre betalingerne. "De var villige til at overføre 10.000 dollars per mand til folk, der ikke var godkendte til at være på vores lønningsliste," udbryder hun.
Earhart kontaktede straks skolens bank, og selvom banken nåede at tilbagekalde de fleste af overførslerne, mistede Plainview Academy stadig 16.000 dollars, 80.700 kroner, på dette svindelnummer. Det er en betydelig sum penge for en mindre skole med et årsbudget på omkring fem millioner kroner, påpeger Earhart.
Ny bærbar kører kun netbank
Andre svindelofre har lagt sag an, da de mener, at deres banker aldrig skulle have autoriseret svindel-overførslerne. Western Beaver County School District sagsøgte 9. juli ESB Bank efter kriminelle overførte 704.610,35 dollars, knap 3,6 millioner kroner, fra skolens bankkonti i løbet af juleferien 2008.
Nogle af pengene blev også her generhvervet, men skoledistriktet endte med at tabe over 2,2 millioner kroner.
Plainview har nu indkøbt en ny bærbar, som skolen udelukkende bruger til netbank - ingen e-mail, ingen surfen på nettet. Earhart håber, at dette vil være nok til at forhindre fremtidig svindel.
"Jeg ved ikke, hvad vi ellers kan gøre, ud over at skulle uddele papircheck og ellers holde os til kontanter."
Oversat af Thomas Bøndergaard
