Do tanga trzeba dwojga. Chyba że zaczynają razem tańczyć rosyjscy przestępcy, chińscy hakerzy i nigeryjscy oszuści. Międzynarodowa przestępcza triada za pomocą skradzionych tożsamości amerykańskich obywateli ukradła dziesiątki miliardów dolarów z socjalnej pomocy postpandemicznej.
Amerykańscy przedstawiciele organów ścigania, analitycy finansowi i eksperci od przestępczości finansowej zgodnie przyznają, że ich kraj mierzy się właśnie z największym oszustwem, jakie kiedykolwiek popełniono przeciwko rządowi federalnemu. Kluczowym aspektem tej sprawy jest to, że za dużą część oszustw odpowiedzialni są obcokrajowcy, którzy w większości przypadków nawet nie byli w USA w momencie popełniania przestępstw.
Rosyjscy gangsterzy, chińscy hakerzy i nigeryjscy defraudanci za pomocą skradzionych w sieci tożsamości przeprowadzili największy w historii skok na amerykańską pomoc publiczną.
Powołując się na dane ID.me można zaryzykować stwierdzenie, że nawet połowa pieniędzy wypłaconych w USA w czasie pandemii koronawirusa w ramach zasiłków dla bezrobotnych, zapomóg dla biznesu czy wypłat kompensacyjnych z tytułu utraty pracy mogła trafić do zagranicznych grup przestępczych.
Ostrożne szacunki mówią o kwocie 400 miliardów dolarów.
Dyrektor ID.me Blake Hall podsumował skandal słowami: „to jak wpuszczenie wolno ludzi do Fort Knox i pozwolenie by bez żadnych przeszkód bezkarnie wynieśli połowę zgromadzonego złota”.
Nigeryjski łącznik
W maju tego roku FBI zatrzymała na nowojorskim lotnisku JFK obywatela Nigerii Abidemi Rufai. Podejrzany szykował się do odlotu pierwszą klasą do rodzinnej Nigerii. W kraju jest znaną personą i sekretarzem Dapo’a Abioduna, gubernatora stanu Ogun.
W związku ze sprawą zatrzymanego obywatela Nigerii, FBI otrzymało nakaz przeszukań wszystkich kont mailowych Rufai. W toku zbierania i analizowania maili na skrzynkach znaleziono dane ze skradzionych kart bankowych, dokumentów tożsamości takich jak paszporty i prawa jazdy. Innym ważnym i kluczowym dowodem podrobione wnioski o wypłatę zasiłku dla bezrobotnych na podstawione osoby w siedmiu stanach.
Abidemi Rufai jest oskarżony przez amerykańskie władze o kradzież tożsamości 100 osób i wyłudzenie na dane tych osób zasiłków „covidowych” na sumę 350 tys. dolarów oraz o próbę wyłudzenia 1,6 miliona dolarów z innych programów socjalnych w oparciu o skradzione dane kolejnych stu osób.
Zebrane przez śledczych dowody pozwalają twierdzić, że Abidemi Rufai wykorzystywał w celach defraudacji środki programu Relief Coronavirus Aid, Relief, and Economic Security (CARES) Act (został uchwalony 27 marca 2020 roku)
Za pomocą ustawy CARES Kongres przeznaczył około 2 bilionów dolarów na pomoc dla amerykańskich pracowników, ich rodzin i firm w celu złagodzenia ekonomicznych konsekwencji pandemii COVID.
CARES Act finansował i upoważniał każdy stan do administrowania nowymi zasiłkami dla bezrobotnych. Świadczenia te obejmowały Federalne, Pandemiczne Odszkodowanie dla Bezrobotnych (FPUC), które zapewniało zasiłek w wysokości 600 USD tygodniowo na bezrobotnego, jako kolejny dodatek do istniejących świadczeń.
W trakcie śledztwa FBI trafiło również na działalność innego defraudanta z Nigerii, Chukwuemeka Onyegbula, który w podobny sposób wyłudził na skradzione dane 290 tys. dolarów wypłat ubezpieczeniowych dla bezrobotnych i 50 tys dolarów w programie pożyczkowym dla przedsiębiorców w trudnej sytuacji. Onyegbula był zatrudniony jako inżynier w jednej z nigeryjskich spółek naftowych. Nigdy nie był w USA, więc miał więcej szczęścia niż Abidemi Rufai. Śledztwo FBI potwierdziło, że oskarżeni nie znali się i działali niezależnie.
Co łączy Abidemiego Rufaia i Chukwuemeka Onyegbula? Nie byli członkami żadnej zorganizowanej, transgranicznej grupy przestępczej i działali na własną rękę, zarządzając małymi zespołami ludzi. Ten fakt jest najbardziej zatrważający, bo jednostki, które w wielu przypadkach nie były nawet w USA spenetrowały system socjalny i wyprowadziły z niego znaczące środki. W slangu ekspertów od terroryzmu zostaliby nazwani „samotnymi wilkami”.
Retorycznym pozostaje pytanie skąd „mali” gracze mogli pozyskać aktywne dane tysięcy Amerykanów.
Socjalny fraud
Mechanizm kradzieży publicznych pieniędzy był dość prosty i opierał się przede wszystkim na kradzieży lub wyłudzaniu danych osobowych od ludzi w Internecie. Pieniądze, które wpływały na konta fałszywych bezrobotnych, były później pobierane z bankomatów przez „słupy” na miejscu i wyprowadzane za granicę.
Jednym z najczęściej obieranych celów cyberkradzieży były programy dla bezrobotnych i system zapomóg dla przedsiębiorców.
Rząd federalny mimo szacunków poczynionych przez ekspertów, nadal nie jest pewien ile z ponad 900 miliardów dolarów zasiłków związanych z pandemią zostało zdefraudowanych przez zagraniczne grupy przestępcze.
Jednym z głównych ułatwień jakie wykorzystali przestępcy był brak komunikacji między stanowymi i federalnymi urzędami odpowiedzialnymi za walkę z następstwami pandemii COVID.
W notatce z lutego tego roku inspektor generalny Departamentu Pracy poinformował, że w grudniu 2020 roku 22 z 54 stanowych i federalnych agencji pracowniczych nadal nie stosowała się do jego wielokrotnego zalecenia przystąpienia do krajowej wymiany danych w celu sprawdzenia numerów ubezpieczenia społecznego. W lipcu inspektor generalny wyżej wymienionego departamentu poinformował, że krajowe stowarzyszenie państwowych agencji pracowniczych nie udostępniało danych o oszustwach zgodnie z wymogami przepisów federalnych. Zgodnie z notatką inspektora 20 stanów nie przeprowadziło wszystkich wymaganych kontroli tożsamości bazy danych, a 44 stany nie wykonały wszystkich zalecanych sprawdzeń i weryfikacji.
Innym faktorem umożliwiającym to gigantyczne oszustwo było zaangażowanie dobrze zorganizowanych transgranicznych grup przestępczych.
Jednym z nielicznych przykładów, w których analitycy wskazywali na konkretny zagraniczny podmiot uczestniczący w wymuszeniach , jest nigeryjska grupa nazwana przez badaczy bezpieczeństwa Scattered Canary. Grupa w przeszłości popełniała już cyberoszustwa i jest doskonale znana międzynarodowym służbom bezpieczeństwa, ale wyłudzenia z amerykańskiego systemu socjalnego sprawiły, że grupa jest już traktowana jako jeden z kluczowych graczy w świecie cyberprzestępców.
W kwietniu i maju 2020 r. tylko Scattered Canary złożyli w stanie Waszyngton co najmniej 174 fałszywe wnioski o zasiłek dla bezrobotnych. Każde roszczenie kwalifikuje się do otrzymania do 790 USD tygodniowo. Daje nam to w sumie 20 540 USD otrzymywanych w okresie 26 tygodni. Po dodaniu dodatku COVID w wysokości 600 USD tygodniowo szacowana strata wyniosła 4,7 miliona dolarów. To dane z tylko jednego stanu.
Cyber przestępcy z Scattered Canary
Scattered Canary ma wszelkie cechy międzynarodowej korporacji. Transgraniczność działań jest tutaj kluczowa. Członkowie Scattered Canary zajmują się na globalną skalę akcjami phishingowymi, fałszowaniem faktur, nielegalnie handlują informacjami, przeprowadzają zorganizowane ataki socjotechniczne, wymuszaniem zapomóg socjalnych, wymuszenia pożyczek studenckich, wymuszaniem ubezpieczeń i na koniec, żeby to wszystko upłynnić, za pośrednictwem mułów i pompek piorą pieniądze w USA, Ameryce Południowej, Europie i Azji.
Specjaliści o cyberprzestępczości badający atak Kanarków na założenia programu Cares Act twierdzą, że grupa używa techniki, którą testował już w przeszłości. Oszuści tworzą jeden ogólny adres Gmaila, a następnie przygotowują konta do przesyłania fałszywych roszczeń, dodając kropki do różnych części adresu. Większość platform internetowych zinterpretuje to wszystko jako różne konta e-mail, podczas gdy Gmail nie rozpoznaje kropek jako zmiany własnych adresów. W rezultacie oszuści mogą przesyłać dziesiątki pojedynczych zgłoszeń pod dowolną liczbą nazwisk, używając ich konkretnych danych osobowych. Jednocześnie zarządzając nimi z jednego scentralizowanego konta e-mail. W jednej z kampanii przeanalizowanych przez badaczy Agari wykorzystano 259 odmian tego samego adresu.
ID.me jako narzędzie do walki z defraudantami
ID.me to amerykańska sieć weryfikowania tożsamości online, która pozwala ludziom potwierdzić swoje urzędowe dane online. Użytkownicy ID.me mogą używać cyfrowych poświadczeń w celu uzyskania dostępu do usług i loginów do opieki zdrowotnej lub innych rządowych serwisów stanowych i federalnych.
ID.me zostało założone na początku 2010 roku przez Blake’a Halla i Matta Thompsona jako TroopSwap, strona z codziennymi ofertami podobna do Groupon i LivingSocial, skupiająca się na amerykańskiej społeczności wojskowej. W późniejszym okresie firma przekształciła się w Troop ID, podmiot który zapewniał weryfikację tożsamości cyfrowej dla personelu wojskowego i weteranów. Strona Troop ID umożliwiała członkom serwisu i weteranom dostęp do korzystniejszych ofert, w tym zniżek w sklepach działających w trybie online. Strona umożliwiała również kontakt weteranów z rządowymi agencjami i urzędami jak np. Departament Spraw Weteranów Stanów Zjednoczonych.
W związku z kryzysem gospodarczym spowodowanym pandemią COVID-19, ID.me zostało zakontraktowane przez liczne państwowe agencje ds. polityki socjalnej w celu weryfikacji tożsamości wnioskodawców i beneficjentów systemu.
ID.me wraz ze wzrostem ryzyka wymuszeń wdrożyło dodatkowe kroki weryfikacyjne wykraczające poza zapisy papierowe lub cyfrowe, wymagając na przykład udowodnienia przez FaceTime, że ich twarze odpowiadają twarzom na prawie jazdy. Oszuści próbowali obejść i te zabezpieczenie używając lalek Barbie, silikonowych masek i deep fake’ów.
Obecnie ID.me ma umowę z 27 stanami na weryfikację tożsamości obywateli amerykańskich i osób o statusie Nexus US.
Czy to kolejny element wojny hybrydowej?
Definicję wojny hybrydowej w ostatnich latach odmieniono przez wszystkie przypadki, ale mimo to nadal warto przypomnieć, że jest to nietypowa strategia wojenna łącząca działania konwencjonalne, nieregularne, cybernetyczne, terroryzm i przestępczość, w tym samym czasie i na tym samym polu bitwy, celem osiągnięcia celów politycznych. Działania w ramach wojny hybrydowej są prowadzonej na różnorodnych płaszczyznach: militarnej, politycznej, gospodarczej, społeczno-kulturowej, historycznej, psychologicznej oraz informacyjnej.
Dobrze obrazują powyższą definicje działania, w których jedno państwo za pomocą samotnych wilków, grup przestępczych czy pożytecznych idiotów, paraliżuje administrację, politykę socjalną, a na koniec uszczupla znacząco stan budżetu drugiego państwa.
Takie i podobne działania będą się zaostrzać. Szczególnie teraz, gdy stoimy w obliczu nieoczywistych zmian. Wypadki ostatnich dni, tygodni, takie jak chociażby wydarzenia z Afganistanu, skazują nas coraz bardziej na świat VUCA.
Is fecit, cui prodest… chyba wiadomo kto jest beneficjentem ciągłych problemów Waszyngtonu
Recepta na walkę z nieprawidłowościami?
Skandal z wymuszeniem pomocy socjalnej w USA przez obcokrajowców jest kolejnym przykładem na to, że dzisiejsza zorganizowana przestępczość nie zna pojęć granic kulturowych, administracyjnych czy językowych. Cyberprzestępcy nie zawracają sobie głowy wnioskami wizowymi, obostrzeniami covidowymi, nowymi listami sankcyjnymi czy stale poszerzanymi rekomendacjami mającymi utrudnić działanie cyberoszustom.
Jak pokazał przykład amerykański, można posiadać zautomatyzowany proces weryfikacji wydatków socjalnych i badania/porównywania relacji zgłaszanych wniosków z aktualnym stanem zatrudnienia, ale jak zawsze najsłabszym ogniwem w całym procesie będzie człowiek.
Tu warto zadać sobie pytanie, czy warto inwestować ogromne środki jedynie w ochronę infrastruktury zapominając przy tym o edukowaniu ludzi?
Mimo amerykańskich doświadczeń między innymi z programem PRISM czy ciągłym tsunami informacyjnym na temat cyberprzestępczości statystyczny użytkownik Internetu nie jest do końca świadomy zagrożeń czyhających podczas klikania.
Obowiązek edukowania i uświadamiania obywateli nie powinien być tylko i wyłącznie domeną służb, urzędów i innych instytucji państwowych.
Tu powinno być również miejsce dla prywatnych inicjatyw, za którymi idzie czasem empatia, szersze zrozumienie potrzeb klienta i większe dostosowanie się do ciągle zmieniających się realiów i trendów w świecie wymuszeń, fraudów i innych oszustw z nigeryjskim księciem w tle.
Źródła:
- Artykuł:’Easy money’: How international scam artists pulled off an epic theft of Covid benefits autorstwa Kena Dilaniana, Kit Ramgopal i Chloe Atkins
- Artykuł: ‘Scattered Canary Cybercrime Ring Exploits the COVID-19 Pandemic with Fraudulent Unemployment and CARES Act Claims’ autorstwa Crane Hassold
( https://www.agari.com/email-security-blog/covid-19-unemployment-fraud-cares-act/)
- Artykuł “Scammers impersonating company hired by North Carolina to verify the ID of the unemployed” autorstwa Diane Wilson
(https://abc11.com/idme-north-carolina-unemployment-scam-fraud/10574631/)
- Artykuł ‘The Nigerian Fraudsters Ripping Off the Unemployment System’ autorstwa
Lily Hay Newman
(https://www.wired.com/story/nigerian-scammers-unemployment-system-scattered-canary/)
- Artukuł ‘How missed ‘red flags’ helped Nigerian fraud ring ‘Scattered Canary’ bilk Washington’s unemployment system amid coronavirus chaos’ autorstwa Jimmiego Brunnera , Paula Robertsa i Patricka Malone
- Raport Agari Cyber Intelligence Division ‘Scattered Canary’
(https://www.agari.com/cyber-intelligence-research/whitepapers/scattered-canary.pdf)
- Artykuł ‘EXCLUSIVE: More trouble for Abidemi Rufai as U.S. govt accuses him of another fraud’ autorstwa Adejumo Kabir
- Artykuł ‘EXCLUSIVE: US court reveals 10 ways Gov Abiodun’s aide Abidemi Rufai executed $350,000 wire fraud’ autorstwa Sodiq Oyeleke
