Insider-Threat: Ein zufälliges Treffen kostete diesen CIO 400.000 Englische Pfund
Verrat, Fassungslosigkeit und eine Bank of America
Warum ist eine Insider-Bedrohung noch gefährlicher als der Angreifer im Schatten? Es ist nicht der Überfall im Dunkeln, der am meisten schmerzt, sondern das Messer im Rücken.
Niemand ist immun gegen einen gut konstruierten Betrug; nicht der CIO, der CEO oder gar der CISO.
Die Geschichte von Wayne Johncock, ehemaliger CIO bei Centrica und MOSL, veranschaulicht dies gut. Ein zufälliges Treffen entwickelte sich zu einem Betrug und Verrat, der ihn und seine Frau Nicky mehr als 400.000 Pfund kostete.
Wir beleuchten die Geschichte von Wayne und Nicky im Rahmen des Cybersecurity Awareness Month.
"Das Angebot schien perfekt", sagt er. "Der barmherzige, samariterfreundliche Nachbar, der ein leitender Angestellter der Bank of America ist, der in meinen Traum und meine Leidenschaft investieren möchte -- mein Edtech-Startup SuperLearningSeries."
Wayne lernte Rajesh Ghedia auf einer örtlichen Weihnachtsfeier im Jahr 2018 kennen. Zu dieser Zeit war er auf der Suche nach einem Investor für SuperLearningSeries (SLS), und Ghedia versprach, dass die Bank of America seine persönliche Investition mit bis zu 1,5 Millionen Pfund unterstützen würde.
Die besten Lügen haben einen wahren Kern: Ghedia hat wirklich für die Bank of America gearbeitet. Aber anstatt Leiter des Derivatehandels für EMEA zu sein, wie er behauptete, arbeitete er tatsächlich als interner Projektmanager im Tech-Team. Er fälschte sogar Visitenkarten und seine E-Mail-Signatur, um die Illusion zu verkaufen.
"Er hat viel Zeit damit verbracht, sicherzustellen, dass er mein Vertrauen und meine Zuversicht hat... Er überzeugte mich, dass er meine Bildungs-App voll und ganz unterstützte. Er sah die Vorteile, wie es der Welt helfen könnte, und er legte Unterlagen vor, die mir sagten, dass die Bank es voll und ganz unterstützte und sie direkt dahinter standen. "Er kam rein, schaute sich meine Website an und konnte mir Fragen dazu stellen, also wusste ich, dass er es von diesem Zeitpunkt an ernst nahm."
Wayne und Ghedia trafen sich mindestens zweimal im Monat, manchmal mit Ghedias 10-jährigem Sohn, um die Pläne für die SuperLearningSeries zu besprechen - Pläne, die von dem versprochenen Geld abhingen.
"Ich habe 180.000 Pfund in ein persönliches Vermögensportfolio investiert, in das er seine 1,5 Millionen Pfund einzahlen konnte. Am Ende hat er kein Geld eingezahlt, obwohl die gefälschten Kontoauszüge dies zeigten. Ich habe mein Geld investiert, er hat es genommen, und es hat 15 Monate gedauert, bis ich ihn entlarvt habe."
Der Stachel des Social Engineering
Einige Kriminelle verfolgen einen Spray-and-Pray-Ansatz, um ihre Chancen auf einen Biss zu maximieren, indem sie Quantität über Qualität stellen. Andere gehen auf Spear-Phishing und wählen ihre Ziele sorgfältig aus und verfolgen sie, um eine größere Auszahlung zu erzielen.
Ghedia vermischte beides und verfolgte bei Wayne den gleichen Ansatz, den er bei seinen anderen Opfern verfolgt hatte - die er alle persönlich kannte. Dazu gehörten sein regulärer Taxifahrer, ein Elternteil an der Schule seiner Kinder und sein eigener Cousin.
"Er warf den Köder aus, ich biss - ein großes Stück ab - und von da an wusste er genau, welche Knöpfe er drücken musste."
Das Schlimmste an Social-Engineering-Betrügereien ist, dass das Opfer zu verlegen oder zu weit drin sein kann - der Trugschluss der versunkenen Kosten - um zuzugeben, dass es sich geirrt hat.
"Ich habe ihn verteidigt und ihn gegen meine Freunde unterstützt", sagt Wayne. "Er hatte mich komplett an einem Ort, an dem er mich brauchte."
Und doch nagte etwas an mir. Mit seinem Hintergrund in der Technologie beschloss Wayne, eine Due Diligence durchzuführen.
"Ich wollte sicherstellen, dass sein Arbeitgeber einen vollständigen Überblick darüber hat, was wir tun. Ich sagte, dass alles über Ihr E-Mail-Konto laufen muss, und ich habe absichtlich Wörter und Sätze eingefügt, von denen ich wusste, dass sie einen internen Überwachungsalarm auslösen würden.
"Alle Informationen waren in den E-Mails, wie die Bankkontodaten, die Investition, das Auszahlungsschema, die Art und Weise, wie das Geld eingezahlt wird, wie es verwendet wird. Er forderte sogar meinen Reisepass an, um KYC zu bestehen."
Aber als die Bank of America keinen Alarm auslöste, wurde Waynes Verdacht zerstreut.
"Für ein Unternehmen, das Milliarden und Abermilliarden von Dollar für Cybersicherheit und -technologie ausgibt und über eines der sichersten, ausgefeiltesten und am besten investierten Technologiesysteme der Welt verfügt, hatte ich absolut keinen Zweifel daran, dass dies von seiner Überwachungssoftware aufgegriffen und sichtbar gemacht worden wäre. Je länger das dauerte, desto sicherer war ich, dass es authentisch war."
Zur gleichen Zeit hatte Ghedia E-Mails manipuliert, so dass sie so aussahen, als kämen sie von hochrangigen Vertretern der Bank, die seine Aktionen unterstützten. Computing sah diese E-Mails.
Der Absturz
Schließlich, nachdem Ghedia Wayne und Nicky davon überzeugt hatte, weitere 40.000 Pfund in einen separaten Fonds zu überweisen - während gefälschte Kontoauszüge zeigten, dass der ursprüngliche Wert auf bis zu 1,7 Millionen Pfund anstieg - alarmierten sie die Bank of America. Einen Monat später erhielt Wayne einen Anruf, der alles veränderte.
"Am 12. Juni 2020, um 13:02 Uhr, brach meine Welt zusammen. Ich erhielt einen Anruf von Action Fraud, um mir mitzuteilen, dass mein Fall an die Polizei der City of London übergeben wird und dass ich einen Anruf erwarte. Kurz darauf rief mich ein Detective Constable an, um mich zu informieren. Er sagte, er werde sich noch einmal bei den internen Ermittlungen der BofA erkundigen, ob mein Anlagekonto tatsächlich existiere."
Der Folgeanruf bestätigte es: Es gab keine solche Darstellung. Ghedia, ein krimineller Angestellter, der bei der Bank of America tätig ist, hatte Systeme manipuliert, Sicherheitsvorkehrungen umgangen und mehr als 600.000 Pfund von seinen Opfern gestohlen.
Ghedia wurde am 3. Juni von der Bank of America entlassen. Zwei Monate später, im August 2020, wurde er verhaftet und führte einen weiteren Betrug durch - diesmal gegen seinen Versicherer, für 1,2 Millionen Pfund. Er verbrachte das Jahr 2021 in und außerhalb von Polizeistationen.
Während Covid-19 Ghedias Tag vor Gericht verzögerte, wurde er schließlich im Juni 2022 zu fast sieben Jahren Gefängnis verurteilt - zu diesem Zeitpunkt saß er bereits sechs Monate hinter Gittern, weil er gegen die Kaution verstoßen hatte.
"Ich ging zum Tag der Urteilsverkündung vor Gericht. Das erste Mal, dass ich vor Gericht stehe. Ich wollte ihn sehen, um sicherzugehen, dass er weiß, was ich getan habe, um ihn dorthin zu bringen."
Trotzdem war es eine schwache Wiedergutmachung für den Verrat, der Wayne und Nick 400.000 Pfund gekostet hatte. Neben den 180.000 Pfund, die sie eingezahlt haben - von denen sie 150.000 Pfund zurückbekommen haben - nahmen sie auch Geld von ihren eigenen Ersparnissen und nutzten staatliche Kredite, um das Personal weiter zu bezahlen, wenn die Investition nicht ausgezahlt wurde.
Erkenntnisse
Rückblickend ist sich Wayne immer noch sicher, dass er fast alles richtig gemacht hat – aber es ist das "fast", das ihn gekostet hat.
Er spricht jetzt aus einer Position der bedauernden Erfahrung und sagt, dass jeder, der glaubt, sich in einer ähnlichen Situation zu befinden, immer direkt mit den leitenden Mitarbeitern in der Organisation sprechen sollte, mit denen er zu tun hat. Er verpasste das, weil Ghedia so sorgfältig darauf achtete, dass er das Vertrauen seiner Opfer hatte.
Niemandem auf bare Münze zu vertrauen, ist verständlicherweise heute seine zweite Maxime.
"Arbeite ein bisschen mehr, um 101% sicher zu sein. Ich wäre mir vielleicht zu 99 Prozent sicher gewesen, aber die guten Kriminellen wissen, wie sie die Dinge umgehen können."
Und schließlich verifizieren Sie alles. Wenn jemand Sie drängt, Geld zu überweisen, auch - vor allem - wenn er sich in einer Vertrauensposition befindet, überprüfen Sie ihn; von ihrem digitalen Fußabdruck bis hin zu ihrem beruflichen Werdegang.
"Wenn ich darauf zurückblicke, frage ich mich jetzt bei jedem Schritt: 'Warum habe ich es nicht aufgehoben?' Aber wenn man dann mit anderen Leuten spricht, die übergangen wurden, sagen sie: 'Schau, das kann jedem passieren.'
"Vielleicht kann es, aber diese Kriminellen werden immer klüger. Sie nutzen die Technologie zu ihrem Vorteil und sind in der Lage, Kontrollen und Governance irgendwie zu umgehen. Und ich weiß nicht, wie er - oder vielleicht sie - das gemacht haben."
Die Bank of America hatte keinen Kommentar, als wir sie wegen Waynes Behauptungen kontaktierten.
Hilfe für Betroffene
Selbst die erfahrenste IT-Führungskraft kann Opfer des richtigen Betrugs werden, und wie Wayne bestätigen kann, ist es schrecklich, ein Opfer zu sein - der Weg vor, während und danach ist ein steiniger Weg.
Wayne drängt darauf, mit seiner Geschichte Finanzinstitute stärker zur Rechenschaft zu ziehen, die Vorschriften für Cyberbetrug zu verschärfen und als Weckruf für Regulierungsbehörden wie das ICO und die FCA zu dienen, dass diese Verbrechen real sind und enorme persönliche Auswirkungen auf die Opfer haben.
Wenn Sie oder jemand, den Sie kennen, einen ähnlichen Vorfall erlitten haben und Probleme im Umgang mit dem ICO und den Strafverfolgungsbehörden hatten, setzen Sie sich bitte mit uns in Verbindung.
Dieser Artikel erschien ursprünglich auf unserer Schwester-Website Computing .