Federal Deposit Insurance Corp. (FDIC) sigortalı hesapları korumak için tasarlanan bankacılık yasaları, tüketicileri belirli siber saldırılara karşı sigorta kapsamı dışında bırakan boşluklar içerir.
ABD Tüketici Mali Koruma Bürosu’nun Wells Fargo & Co.’yu araba kredilerinin, ipoteklerin ve banka hesaplarının kötü yönetimi nedeniyle şimdiye kadarki en büyük mali cezayla vurmasından bir aydan kısa bir süre önce Aralık 2022’de bir Wells Fargo müşterisi, tüketicisinin hesabına el konuldu. ona 45.000 dolara mal olan çek hesabı. Fargo, San Francisco bölgesindeki bir şirketin CFO’su ve baş ekonomisti olan Kartik Gada’ya tazminat ödememeyi seçti.
Belgeler, saldırganların Gada’nın cep telefonu hesabını ihlal ettiğini ve ardından telefonun yedek verilerinden banka oturum açma kimlik bilgilerine eriştiğini gösteriyor. Saldırganlar banka oturum açma bilgilerini değiştirdiler, çek hesabına banka havaleleri ve Zelle para transferleri gönderme özelliğini eklediler, ardından iki geleneksel banka havalesini kullanarak 45.000 doları New York merkezli bir bankaya taşıdılar. Hırsızlar daha sonra hırsızlar tarafından diğer bankanın hesabındaki parayı çekti. Wells Fargo, saldırganlar Gada’nın geçerli banka oturum açma kimlik bilgilerini aldığından, bunun Gada’nın geri ödemesini reddetmek için yeterli olduğunu ileri sürdü.
Hesap devralma nadir değildir. Bir Marina del Rey çifti benzer bir saldırıyla karşı karşıya kaldı, ancak Gada saldırısıyla aşağı yukarı aynı zamanda Wells Fargo tarafından fonları kendilerine iade edildi. Ancak, sonuçlar gibi saldırganların işleyiş tarzı da farklıydı.
Gada, Dark Reading’e, Well Fargo’nun bankanın “şifre güvenliğini koruyamadığını” iddia ettiği için iade talebini reddettiğini söyler. Gada, bir banka temsilcisinin kendisine saldırıyı kabul etmesine rağmen kendisine tazminat ödemeyi reddettiğini söylediğini söylüyor.
Wells Fargo’nun Gada’ya gönderdiği nihai karar mektubunda banka, “Çevrimiçi Erişim Sözleşmesine göre, kullanıcı adınızı ve şifrenizi gizli tutmaktan ve Hizmeti kullanan herhangi birinin kullanıcı adınızla oturum açtıktan sonra yaptığı işlemlerden siz sorumlusunuz. yasa veya düzenleme tarafından aksi belirtilmedikçe, parola veya Wells Fargo onaylı diğer herhangi bir kimlik doğrulama kontrolü. Kullanıcı adınız ve parolanız altında alınan talimatlara güvenme ve bunlara göre hareket etme hakkına sahibiz.”
Yetersiz Banka Gözetim
New York hukuk firması Gallet Dreyer & Berkey, LLP’nin bir ortağı olan Jay Hack, bankanın “müşterilerle ilgili durum tespiti prosedürlerinin açıkça başarısız olduğunu ve şüpheli işlemleri filtrelemek için filtreleme yazılımının açıkça başarısız olduğunu” söylüyor. hırsızlık olmanın şartlarındandır.”
Bankanın sistemleri, müşterinin kişisel çek hesabını kullanma şeklindeki değişikliği ve hesabın devralındığı gece hesaptaki hızlı değişiklikleri fark ettiğinde, bankanın izleme yazılımının yetkilileri uyarması gerektiğini iddia ediyor. Bunu yapmamış olmasının iki olası nedeni olduğunu belirtiyor. İlki, yazılımın “şüpheli işlemleri ortadan kaldırmayacak” şekilde yanlış yapılandırılmış olmasıdır. Bir diğeri ise, uyarı not edilmiş olsa bile göz ardı edilmiş olabilir.
Hack, büyük bir bankanın hesap devralmalarını ve olağandışı eylemleri (parolaları değiştirmek ve ardından banka havalesi özelliklerini eklemek ve hemen kullanmak gibi) tanımlayan ve bir uyarı başlatan bir yazılıma sahip olması gerektiğini söylüyor.
İncelikli Yasal Gerekçeler
Wells Fargo, Dark Reading’in Gada’ya tazminat ödememe kararı hakkında yorum yapmasına yönelik birçok talebini görmezden geldi. Ayrıca, bankanın güvenlik kontrollerinin neden hesapta meydana gelen anormallikleri işaretlemediği ve neden hiçbir banka çalışanının işlemleri işleme koymadan önce hesaptaki olağandışı değişiklikleri onaylamaya çalışmadığı hakkında yorum yapmayacaktır.
Para Biriminin Denetçisi ve Tüketici Mali Koruma Bürosu, Gada’nın durumunun özelliklerini tartışmayı reddederken, her iki kuruluş da Dark Reading’i Elektronik Fon Transferi Yasası ve Yönetmelik E ile ilgili belgelere yönlendirdi. Müşteriye tazminat ödemeyi reddetmenin nedeni, saldırganların E Yönetmeliği kapsamında özellikle kapsanmayan tel transfer yetenekleri uygulamış olmalarıdır.
Gada, Wells Fargo’nun ihlale yanıtının, saldırganların eylemleri nedeniyle kişisel çek hesabını bir aracılık hesabı olarak yeniden tanımlamak olduğunu ve ardından müşteriye aracılık hesabına uygulanan farklı kuralları söylediğini söyledi. Banka, banka havalelerini ele alan ve Yönetmelik E’den farklı “iyi niyet” kurallarına sahip olan Evrensel Ticaret Kanunu (UCC) 4A-202’yi izlemeyi seçti. Yönetmeliklerin kısa bir PowerPoint açıklaması, FDIC’nin web sitesinde bulunabilir.
Wells Fargo’nun pozisyonu, saldırganların müşterinin çek hesabından para çalmak için banka havalesi kullanması durumunda kayıplardan müşterinin sorumlu olduğu yönündedir. Saldırganlar, Zelle veya PayPal gibi bir para transferi uygulaması veya Otomatik Takas Odası (ACH) transferi gibi farklı bir yaklaşım seçmiş olsalardı, FDIC, E Yönetmeliği uyarınca bankanın Gada’yı tazmin etmesini isterdi.
Banka, bir suçun mağdurunun neden banka ile müşteri arasında bir anlaşma gerektiren UCC 4A’ya tabi olacağına değinmemeyi tercih etti. Hesap durumunun değişmesine Gada’nın değil saldırganların sebep olması, bunun müşteri ile banka arasında yasal bir sözleşme olup olmadığı sorusunu gündeme getirdi.
Hack, dava açmanın maliyeti genellikle tüketicinin kaybından çok daha yüksek olduğu için bankaların bu tür inkarlardan paçayı sıyırabileceğini söylüyor. Uzman hukuk firmalarının müşterinin zararı 1 milyon $ veya daha fazla olana kadar dava açmasının karlı hale gelmediğini belirtiyor.