Une société d’alarme incendie de l’Arkansas a perdu plus de 110 000 dollars ce mois-ci lorsque des pirates ont volé les informations d’identification bancaires en ligne de l’entreprise et vidé son compte de paie.
Le mercredi 7 avril, Fort. Basé à Smith JE Systèmes Inc. a reçu un appel de sa banque indiquant que l’entreprise devait transférer plus d’argent sur son compte de paie, le directeur général Mélanie Eakel mentionné. Au cours des deux jours précédents, quelqu’un avait approuvé deux lots de paiements de paie – un pour 45 000 $ et un autre pour 67 000 $.
« Ils ont dit » Vous êtes à découvert « et je leur ai dit que c’était impossible parce que nous ne faisions pas notre paie … nous le faisons tous les jeudis, pas le lundi à 2 heures du matin, c’est-à-dire à ce moment-là », a déclaré Eakel. . « Je leur ai dit que nous n’avions pas autorisé cela. »
Quelques jours plus tard, cependant, le Première Banque nationale de Fort Smith a envoyé à JE Systems une lettre indiquant que la banque ne serait pas responsable de la perte. First National n’a pas retourné les appels demandant des commentaires.
« Ils ont dit que c’était notre [Internet] adresse qui a été utilisée pour traiter les paiements, et notre nom d’utilisateur et mot de passe de banque en ligne », a déclaré Eakel. « J’ai l’impression que la banque aurait dû s’en rendre compte.
ANALYSE
Comme Eakel l’a découvert à ses dépens, les entreprises ne bénéficient pas de la même protection juridique contre la fraude bancaire en ligne que celle offerte aux consommateurs. Tout ce que les attaquants doivent faire est de tromper un employé ayant accès aux comptes bancaires d’une entreprise pour qu’il ouvre une pièce jointe ou un lien spécialement conçu. ou transmis par le PC infecté.
Que cette entreprise perde ou non de l’argent à cause d’une telle intrusion dépend d’un grand nombre de facteurs (y compris si les méchants qui ont volé les informations d’identification parviennent ou non à les utiliser). Cependant, après avoir interrogé plus de 100 entreprises qui ont été touchées par ce type d’attaque, je peux dire que lorsqu’une victime perd de l’argent, il y a généralement beaucoup de reproches à faire à la fois à la banque et au client.
Tout d’abord, beaucoup trop de banques s’appuient encore uniquement sur des mécanismes de sécurité destinés aux utilisateurs pour l’authentification, tels que les mots de passe, les questions secrètes et les jetons à usage unique. Tous ces éléments – même lorsqu’ils sont utilisés en tandem – ont été vaincus par les gangs criminels organisés qui ciblaient les entreprises que j’ai interrogées.
Une partie du problème est que la plupart des banques, même les plus petites, ne connaissent plus leurs clients, de vue ou de nom. Par conséquent, peu de banques ont réellement une bonne idée de ce à quoi ressemble l’activité de transaction normale de leurs clients. Ce ne serait pas si grave si la plupart des banques remplaçaient ce manque de connaissances par un type de technologie qui établit un profil des transactions des clients, puis alerte la banque et/ou le client lorsque des anomalies surviennent. Cependant, relativement peu de banques utilisent ce type de technologie aujourd’hui, en particulier pour leurs clients commerciaux.
De nombreux propriétaires d’entreprise qui perdent des sommes considérables à cause de ce type de fraude n’ont pas l’habitude de rapprocher leurs livres quotidiennement. En effet, la majorité des victimes que j’ai interrogées qui ont perdu des sommes importantes n’ont pas détecté l’argent manquant pendant plus de 24 heures. Cela ne veut pas dire que les victimes qui découvrent la fraude le jour même où elle est perpétrée récupèrent toujours une partie ou la totalité de leur argent, mais elles ont de bien meilleures chances de le faire que celles qui ne la détectent pas tout de suite.
Revenons une seconde aux banques : à quel moment les institutions financières de ce pays vont-elles commencer à placer des drapeaux rouges géants sur les nouveaux comptes qui reçoivent soudainement des dépôts d’un peu moins de 10 000 $, de l’argent que le titulaire du compte se présente pour retirer en espèces sous peu après? D’ailleurs, les entreprises qui facilitent les virements ultérieurs ne devraient-elles pas être tenues à une norme plus élevée ?
L’IGNORANCE DE LA LOI…
JE Systems a été victime d’un vol avec l’aide d’au moins une douzaine de « mules monétaires » différentes, des individus volontaires ou involontaires aux États-Unis qui sont embauchés par le biais d’escroqueries au travail à domicile pour aider les escrocs à blanchir leur argent. Dans tous les cas que j’ai couverts, les mules ont retiré l’argent en espèces, viré les fonds à l’étranger vers l’Ukraine et la Moldavie, et ont gardé environ huit pour cent en « commission » (moins les frais de virement élevés).
Pour sa part, Eakel a déclaré que son entreprise aurait certainement pu être plus vigilante avec ses livres. Mais elle a ajouté qu’elle aimerait voir certaines des mules financières poursuivies pour avoir aidé et encouragé la fraude.
« C’est écrasant mon émotion de parler de cela », a déclaré Eakel à breachtrace on Security lors d’un entretien téléphonique, s’étouffant de manière audible avec les mots. « Ces mules ou quoi que ce soit d’autre ont besoin de trouver un vrai travail et un moyen légal et honnête de gagner leur argent comme nous tous, et d’arrêter de voler des petites entreprises innocentes. Honnêtement, je ne comprends pas comment ces individus peuvent dormir la nuit.