Αμερικανικές τράπεζες: Πώς τα ευαίσθητα προσωπικά δεδομένα καταλήγουν στο «dark web»

Ένα νέο σκάνδαλο ταλανίζει τον αμερικανικό τραπεζικό κλάδο, με εργαζομένους σε τράπεζες να πωλούν στο dark web (σκοτεινό διαδίκτυο) έναντι αδρών αμοιβών ευαίσθητα προσωπικά δεδομένα των πελατών τους.

Σύμφωνα με εισαγγελείς του Μανχάταν,  μία υπάλληλος της Toronto-Dominion Bank, με πρόσχημα ότι θα βοηθούσε στον εντοπισμό υπόθεσης ξεπλύματος χρήματος, εκμεταλλεύτηκε την πρόσβασή της σε τραπεζικά δεδομένα για να μεταφέρει στοιχεία πελατών σε ένα εγκληματικό δίκτυο στο Telegram. Οι ντόπιοι ντετέκτιβ που έψαξαν το τηλέφωνό της φέρεται να βρήκαν εικόνες 255 επιταγών που ανήκαν σε πελάτες, μαζί με άλλα προσωπικά στοιχεία για σχεδόν 70 άλλους.

Όπως αποκαλύπτει το Bloomberg, πρόκειται για ένα μικρό κομμάτι ενός ελάχιστα αντιληπτού μοτίβου που εμφανίζεται σε όλες τις τράπεζες στις ΗΠΑ – από πύργους στο Μανχάταν, σε κόμβους στη Φλόριντα και ακόμη και στα προάστια της Λουιζιάνα.

Καθώς οι περίπλοκες απάτες που στοχεύουν στις αποταμιεύσεις μίας ζωής των Αμερικανών δημιουργούν πρωτοσέλιδα στις ΗΠΑ, οι χαμηλόμισθοι υπάλληλοι του κλάδου συνεχίζουν να πουλούν ευαίσθητες πληροφορίες πελατών από την πίσω πόρτα, αναδεικνύοντας την αχίλλειο πτέρνα στους ελέγχους κινδύνου των τραπεζών.

Τεχνητή νοημοσύνη: Αμερικανικές υπηρεσίες προειδοποιούν για έξαρση του κυβερνοεγκλήματος

Πρόκειται σαφώς για μία δυσάρεστη διαπίστωση. Κι ενώ πολλές απάτες φαινομενικά στοχεύουν ανθρώπους τυχαία, ορισμένα θύματα είπαν ότι οι απατεώνες που τους ξεγέλασαν ήξεραν πολλά για τα οικονομικά τους από την αρχή.

«Όσο περισσότεροι υπάλληλοι υπάρχουν σε μια εταιρεία με πρόσβαση σε ευαίσθητες πληροφορίες πελατών, τόσο μεγαλύτερος είναι ο κίνδυνος κατάχρησης της πρόσβασης», αναφέρει στο Bloomberg, ο RJ Cross, υπέρμαχος της ιδιωτικής ζωής στο US Public Interest Research Group. «Οι εταιρείες πρέπει να διαθέτουν τεχνικά μέτρα για να διασφαλίσουν ότι οι εργαζόμενοι και οι εξωτερικοί συνεργάτες δεν μπορούν να κοινοποιήσουν πληροφορίες ανθρώπων ή να έχουν πρόσβαση σε δεδομένα που δεν είναι απαραίτητα για τα εργασιακά τους καθήκοντα».

Θα μπορούσε κανείς να πει ότι οι τράπεζες δεν έχουν ακόμη καταλάβει πώς να εμποδίσουν τους υπαλλήλους να κερδίζουν χρήματα από την πρόσβασή τους σε εξαιρετικά πολύτιμες και ευαίσθητες πληροφορίες πελατών

Οι απάτες κρατούν χρόνια

Σύμφωνα με το δημοσίευμα υπάρχουν προειδοποιήσεις εδώ και χρόνια. Σχεδόν πριν από μια δεκαετία, ο τότε γενικός εισαγγελέας της Νέας Υόρκης, Eric Schneiderman, προέτρεψε δημοσίως τους μεγάλους δανειστές, όπως η JPMorgan Chase & Co. , η Bank of America Corp. και η Citigroup Inc. να ενισχύσουν τις εσωτερικές άμυνες αφού μια έρευνα διαπίστωσε ότι είχε στρατολογηθεί ένα ολόκληρο κύκλωμα κλοπής δεδομένων.

Τα περιστατικά αυτά πλέον εγείρουν σημαντικές ανησυχίες: οι συνταξιούχοι των ΗΠΑ που βρίσκονται στην κορυφή ενός αποθέματος πλούτου-ρεκόρ αντιμετωπίζουν  επιθέσεις -ρεκόρ, με τις εκτιμώμενες ετήσιες ζημίες να ξεπερνούν τα 28 δισεκατομμύρια δολάρια. Για τους απατεώνες, οι συμβουλές για το ποιος έχει πολλά χρήματα μπορεί να είναι ανεκτίμητες.

Εν τω μεταξύ, οι λομπίστες των τραπεζών αποκρούουν τις νομοθετικές προσπάθειες να αναγκάσουν τις εταιρείες να κάνουν περισσότερα για να προστατεύσουν τους πελάτες ή να μοιραστούν τις ζημίες τους.

Θα μπορούσε κανείς να πει ότι οι τράπεζες δεν έχουν ακόμη καταλάβει πώς να εμποδίσουν τους υπαλλήλους να κερδίζουν χρήματα από την πρόσβασή τους σε εξαιρετικά πολύτιμες και ευαίσθητες πληροφορίες πελατών. Κάποιοι συνδέονται με τοπικούς συνωμότες στα μέσα κοινωνικής δικτύωσης για σχέδια τόσο κοινά όπως οι πλαστές επιταγές.

Το σκάνδαλο του ναυτικού

Μερικές διώξεις, όπως αυτή κατά του Wade Helms της Ομοσπονδιακής Πιστωτικής Ένωσης του Ναυτικού , δείχνουν πόσο μακριά μπορούν να ρέουν τα δεδομένα.

Οι αρχές στην κομητεία Escambia της Φλόριντα κατηγόρησαν τον Helms ότι έγραψε προσωπικές πληροφορίες για πελάτες σε ένα σημειωματάριο, δημιούργησε μια λαβή για τον εαυτό του στον σκοτεινό ιστό και έκανε γνωστό ότι αναζητούσε έναν αγοραστή για πληροφορίες σχετικά με πελάτες στο Navy Federal.

Σε ένα chatroom, ο Helms βρήκε κάποιον που ισχυρίστηκε ότι ήταν μεσίτης για κλεμμένα δεδομένα. Οι δυο τους φέρεται να μίλησαν τηλεφωνικά και συνέχισαν τη συνομιλία σε έναν προσωπικό υπολογιστή που κρατούσε ο Helms δίπλα στο γραφείο του.

Ο μεσίτης «ήθελε πληροφορίες για λογαριασμούς με πολλά δολάρια γιατί αυτό θα πουλούσε ευκολότερα στον σκοτεινό ιστό», σύμφωνα με μια ένορκη κατάθεση για ένταλμα σύλληψης για τον Helms. Ο μεσίτης δημιούργησε σελίδες Telegram που ονομάζονται «Navy Wave», όπου δημοσιεύτηκαν στιγμιότυπα οθόνης των λογαριασμών πελατών. Μερικά παρασχέθηκαν από τον Helms, ο οποίος είχε τραβήξει στιγμιότυπα οθόνης τραπεζικών κινήσεων πελατών και φωτογραφίες της ταυτότητάς τους, σύμφωνα με το ένταλμα.

Το «Navy Wave» είχε πολλαπλά παρακλάδια που ξεκίνησαν με την @ScammingServices με περισσότερους από 2.700 συνδρομητές. Μέχρι τη στιγμή που η εσωτερική ασφάλεια της πιστωτικής ένωσης ανακάλυψε την απάτη, ο Helms φέρεται να είχε αποκαλύψει έως και 50 λογαριασμούς.

Σε μια συμφωνία με τους εισαγγελείς, ο Helms δεν αμφισβήτησε 11 κατηγορίες, συμπεριλαμβανομένης της παράνομης χρήσης προσωπικής ταυτότητας, και καταδικάστηκε σε 10ετή ποινή κάθειρξης με αναστολή. Διατάχθηκε επίσης να πληρώσει περίπου 9.100 δολάρια ως αποζημίωση στο Navy Federal.

Παροχή κινήτρων σε επιχειρήσεις

Σύμφωνα με τον Τζόναθαν Λόπεζ, πρώην ομοσπονδιακό εισαγγελέα που ειδικεύεται σε υποθέσεις τραπεζικού εγκλήματος, οι επιχειρήσεις θα πρέπει να προσαρμοστούν στις τάσεις του εγκλήματος, ειδικά καθώς αυξάνουν το εργατικό δυναμικό τους με χιλιάδες ανθρώπους, συμπεριλαμβανομένων θέσεων εργασίας με υψηλό κύκλο εργασιών.

Ο πρόσφατος διακανονισμός 3,1 δισεκατομμυρίων δολαρίων της TD Bank με τις αρχές των ΗΠΑ για την αποτυχία να αποτρέψει το ξέπλυμα χρήματος αποκάλυψε ότι η εστίαση των στελεχών στο κόστος είχε συμβάλει σε αδύναμα εσωτερικά συστήματα.  Η έρευνα διαπίστωσε ότι αρκετοί υπάλληλοι σε επίπεδο υποκαταστήματος δέχονταν δωροδοκίες σε μετρητά και δωροκάρτες για να ανοίξουν λογαριασμούς και να εκδώσουν χρεωστικές κάρτες που στη συνέχεια χρησιμοποιήθηκαν για τη μεταφορά χρημάτων στην Κολομβία μέσω ΑΤΜ.

Ο αυξημένος έλεγχος αποκάλυψε επίσης ότι ένας διευθυντής υποκαταστήματος με έδρα τη Νέα Υόρκη έκλεψε περισσότερα από 200.000 δολάρια από έναν ηλικιωμένο πελάτη, χρησιμοποιώντας στοιχεία λογαριασμού και μια πλαστή διεύθυνση email για να αποσπάσει χρήματα ακόμα και μετά τον θάνατο του συνταξιούχου. Ο τραπεζίτης, που απολύθηκε αργότερα παραδέχτηκε το έγκλημα και καταδικάστηκε σε περισσότερο από ένα χρόνο φυλάκιση. Ο δικηγόρος του είπε ότι έκλεψε τα χρήματα για να πληρώσει τα δίδακτρα του γιου του στο κολέγιο.

Στη συνέχεια, τον Σεπτέμβριο, οι αρχές της Νέας Υόρκης επιτέθηκαν στην Daria Sewell, μια νέα υπάλληλο στις επιχειρήσεις καταπολέμησης του ξεπλύματος χρήματος της TD, κατηγορώντας την ότι αποθηκεύει εικόνες επιταγών πελατών στο τηλέφωνό της.  Οι ερευνητές είπαν ότι η Sewell διένειμε πληροφορίες στο Telegram με οδηγίες για το πώς να ανοίξουν τραπεζικούς λογαριασμούς και να μεταφέρουν χρήματα από τους λογαριασμούς TD σε αυτούς.

Το δίκτυο της απάτης

Στη Λουιζιάνα, οι ομοσπονδιακοί εισαγγελείς εντόπισαν ένα κύκλωμα απάτης για επιταγές σε υπαλλήλους του διεθνούς τηλεφωνικού κέντρου Teleperformance, όπου τρεις υπάλληλοι στο Shreveport κατηγορήθηκαν ότι πουλούσαν τις πληροφορίες λογαριασμού ηλικιωμένων πελατών της USAA.

Το σχέδιο συνεχίστηκε για σχεδόν δύο χρόνια με τους τρεις — Arazhia Gully, Maya Green και Zarrajah Watkins — να ενώνουν τις δυνάμεις τους και να προσφέρουν πληροφορίες για πελάτες με υψηλά υπόλοιπα λογαριασμών σε ένα δίκτυο με περισσότερους από δώδεκα άλλους, σύμφωνα με ομοσπονδιακούς εισαγγελείς. Ορισμένοι παραλήπτες χρησιμοποίησαν πλαστές επιταγές για να πραγματοποιήσουν αναλήψεις. Ένα μέρος των εσόδων κατατέθηκε αργότερα στον προσωπικό λογαριασμό ενός υπαλλήλου της Teleperformance και «κατατέθηκε» σε ένα κοντινό καζίνο.

Η διαπραγμάτευση αυτών των δεδομένων ήταν παρόμοια με την παραγγελία από ένα μενού σε ένα εστιατόριο, με τους ξένους να επιλέγουν ποιους λογαριασμούς θα εκμεταλλευτούν.

Σε ένα παράδειγμα που παρείχαν οι εισαγγελείς , ο Gully έστειλε σε έναν συνωμότη ένα μήνυμα κειμένου που περιείχε τις ηλικίες και τα υπόλοιπα των λογαριασμών οκτώ πελατών της USAA. Το άτομο απάντησε με την επιλογή του: ένας 79χρονος με 442.000 $. Στη συνέχεια, ο Gully έστειλε μια εικόνα μιας οθόνης υπολογιστή που έδειχνε λεπτομερείς πληροφορίες λογαριασμού. Ένα άλλο θύμα ήταν ένας 95χρονος με 174.000 δολάρια.

«Συνεργαστήκαμε πλήρως με τις αρχές για να βοηθήσουμε στην έρευνα και απολύσαμε τους υπαλλήλους αμέσως μόλις ενημερωθήκαμε για τα περιστατικά», ανέφερε η Teleperformance σε δήλωση που εστάλη μέσω email. «Συνεργαζόμαστε στενά με τους πελάτες μας για να διασφαλίσουμε ότι ελαχιστοποιούμε την πρόσβαση των εργαζομένων μας στις πληροφορίες λογαριασμού πελατών, ώστε να συμπεριλάβουμε μόνο την πρόσβαση που απαιτείται για την παροχή των υπηρεσιών και να ελαχιστοποιήσουμε τον κίνδυνο απάτης στο χαμηλότερο δυνατό επίπεδο».