密歇根州法院裁定,联信银行承担560000美元cyberheist,说银行应该做得更好发现数百万美元的欺诈性交易后的一个银行的客户被骗在两年前钓鱼攻击。
在6月13日决定,法院裁定赞成Experi-Metal, Sterling Heights,密歇根州,联信后定制的汽车零部件制造商起诉2009年1月的事件。在短短几个小时,罪犯试图数百万美元转移到东欧联信欺诈部门之前关闭了骗局。大部分的钱是恢复了,但是在他执政的美国地方法院的法官帕特里克•达根密歇根东部地区说,银行应该做更好的制止欺诈行为。“银行相当与客户打交道,在这种情况下,就会发现和/或欺诈线活动前停了下来,“法官在判决中Duggan写道。
Experi-Metal的麻烦开始于1月22日凌晨,2009年。当公司的副总裁制造、格里国王,收到钓鱼邮件告诉他填写了一块平凡的在线文件:一个“联信业务连接客户的形式。”He forwarded the e-mail to Controller Keith Maslowski, who then logged into a website belonging to the criminals. With Maslowski's login credentials, the criminals were off and running. Over the next six-and-a-half hours they raced to steal as much of Experi-Metal's money as they could before their window of opportunity closed.
联信了解了大约四个小时到欺诈问题,当摩根大通(J.P. Morgan Chase)打电话报告可疑交易进入账户Experi-Metal的帐户。更大的银行,可能会将资金转移至海外,所以罪犯汇集资金追逐的帐号,然后转移到俄罗斯和爱沙尼亚。
联信欺诈部门立即拿走Experi-Metal的账户,但他们犯了一个错误。他们没有把骗子联信服务器。仍然登录,罪犯设法启动另一个前15电汇联信质量风险经理最终杀死了他们的会话。最终推动了罪犯近50000美元。
联信拒绝支付560000美元的损失之后,Experi-Metal提起诉讼,认为该银行不应该允许转让。联信反驳说,自从Experi-Metal钓鱼网站的公司,它应该需要支付。
Duggan法官裁定Experi-Metal的支持在长椅上看来,但他尚未联信必须支付多少说。
密歇根州法院的决定是很重要的,因为美国法院现在才开始决定谁应该支付这些诈骗,被称为自动结算所(ACH)欺诈行为。安全专家认为,ACH骗子了数亿美元在过去的几年里,典型的小型企业,学校董事会和社区组织工作与规模较小的地区性银行。黑客窃取公司员工的网上银行凭证然后迅速转移数十万美元的账户使用空调采暖系统,这是创建移动货币工资基金等。
消费者不负责这种类型的欺诈,但情况并非如此时,小型企业。事实上,尽管本周的裁决,真的不清楚谁必须支付后ACH骗子罢工。就在上周一个缅因州地方法官裁定赞成银行类似的事件。这一决定可能Patco施工成本,在桑福德,缅因州,345000美元。
虽然许多ACH欺诈纠纷正悄悄地庭外和解,双方都在接受一些损失,如果企业采取ACH欺诈纠纷告上法庭,责任几乎是抛硬币决定,创始合伙人大卫Navetta说法律团体的信息。“我认为我们将看到不同的观点在不同的司法管辖区,”他说。“如果事情开始向上诉法庭……然后受地方法院裁决。当它开始变得严重。”
这正是发生在这种情况下,根据银行发言人凯瑟琳Pitton。据她介绍,联信计划提起上诉。“我们提出的证据表明,纠纷对我们的指控和相信,审查的证据后,上诉法庭将同意改变这个决定,”她在一封电子邮件里说。
无论是Experi-Metal还是律师,理查德•汤姆林森返回请求置评的电话。宣判的消息首次由《底特律自由报》周二报道。
银行现在做一个更好的发现ACH欺诈比2009年,但是罪犯仍然赚钱,Gartner分析师Avivah Litan说,她是位杰出的研究。“每个银行与我交谈过的人,真的很担心,担心,”她说。”一些人比其他人更好地处理它。”
等公司RSA安全、Actimize和《卫报》分析销售客户概况和欺诈检测系统设计国旗欺诈性交易,但是,骗子总是在寻找各种方法对付银行。众所周知,“他们已经击败了分析系统,”坦说。“这是变得很成问题。”
最近的法庭裁决已再次证明,没有人确切知道谁来埋单。
罗伯特·麦克米兰涵盖了计算机安全和通用技术新闻IDG新闻服务。在Twitter上关注罗伯特@bobmcmillan。罗伯特的电子邮件地址robert_mcmillan@idg.com