Fraude: Overvallen Ter Waarde Van Miljarden INDIGNATIE AI & Politiek

Spread the love en help Indignatie

Inhoud

Fraude: Uit een onderzoek bleek dat criminele bendes valse bankrekeningen en geheime online marktplaatsen gebruikten om van bijna iedereen te stelen – en dat er weinig werd gedaan om de fraude te bestrijden.

Fraude In januari 2020 bestudeerde Debi Gamber een computerscherm gevuld met informatie over tientallen stortingen met cheques. Als acht jaar lang manager bij een TD Bank-filiaal in Essex, een voorstad van Baltimore, had ze als veiligheidsmaatregel een golf van rekeningactiviteiten onder de loep genomen. Deze transacties bij de geldautomaat van een klein TD-filiaal in een nabijgelegen winkelcentrum kwamen haar echter verdacht voor .

Keer op keer zag Gamber dat deze cheques betaalbaar waren aan kerken – veel staten buiten het filiaal van het Silver Spring-winkelcentrum – maar toch op persoonlijke rekeningen waren gestort , een mogelijk teken van diefstal.

Ze ging dieper graven en stelde vast dat dezelfde medewerker van de klantenservice, Diape Seck, minstens zeven van de rekeningen had geopend waarop meer dan 200 kerkcheques waren gestort. Sterker nog: de vermeende rekeninghouders gebruikten Roemeense paspoorten en rijbewijzen om hun identiteit te bewijzen. Commerciële bankiers zien deze vormen van identiteitsbewijzen zelden. Dus waarom stroomden al deze Roemenen naar een klein filiaal boven een kledingwinkel van Marshall?

Gamber vermoedde misdaden, diende een elektronisch fraude-intakeformulier in en nam vervolgens contact op met de beveiligingsafdeling van TD om hen rechtstreeks te informeren over wat ze had opgegraven. Al snel ontdekte de bank dat Seck niet alleen voor zeven rekeningen, maar voor 412 daarvan op Roemeense documenten vertrouwde. De bank belde de lokale politie en de federale politie om te melden dat een insider criminelen leek te helpen kerken en TD te bedriegen.

Het nieuws verheugde de federale autoriteiten: sinds augustus 2018 hadden ze onderzoek gedaan naar een golf van diefstallen uit kerkbrievenbussen in het hele land, en nu kenden ze de bankrekeningen die door enkele van de boeven werden gebruikt. Het duurde weken om te bepalen wie deze mensen waren – Seck opende de rekeningen met behulp van valse identiteiten. Maar in april hadden agenten de naam van minstens één verdachte en hielden hem in de gaten terwijl hij een kerkbrievenbus plunderde.

De volgende maand vertelde TD aan de politie dat ze een andere insider hadden ontdekt – dit keer bij een filiaal in Hollywood, Florida – die een aantal van dezelfde mensen had geholpen daar valse rekeningen te openen.

Negen maanden na de tip van TD begonnen agenten samenzweerders op te pakken en uiteindelijk negen van hen te arresteren voor misdaden die meer dan 1,7 miljoen dollar aan gestolen cheques opleverden. Ze pleitten allemaal schuldig aan financiële misdaden, behalve Seck, die in februari werd veroordeeld wegens bankfraude, het aannemen van steekpenningen en andere misdaden. Hij werd in juni 2023 veroordeeld tot drie jaar gevangenisstraf .

Hoe kon het gebeuren? Hoe konden criminelen een jarenlange fraude ter waarde van meerdere miljoenen dollars bewerkstelligen door alleen maar te vertrouwen op een paar werknemers van twee kleine bankfilialen in een plan waarbij de slachtoffers zich opstapelden tot honderden?

Het antwoord is omdat het gemakkelijk is. Misdaden als deze gebeuren elke dag in het hele land. Oplichting die wordt gefaciliteerd door het misleiden van financiële instellingen – van internationale conglomeraten tot regionale ketens, gemeenschapsbanken en kredietverenigingen – berooft miljoenen mensen en instellingen van miljarden en miljarden dollars. De kern van deze ongekende misdaadgolf wordt gevormd door zogenaamde drop-accounts – ook wel ‘mule-accounts’ genoemd – die zijn gemaakt door straatbendes, hackers en zelfs vriendenkringen.

Deze fraudeurs maken gebruik van technologie om valse of gestolen informatie te verkrijgen om drop-accounts aan te maken, die vervolgens worden gebruikt als de plaats om gestolen geld eerst te ‘droppen’ en vervolgens wit te wassen. Daarbij blazen criminelen nieuw leven in een van de oudste financiële misdaden uit de geschiedenis: chequefraude.

Om het groeiende fenomeen van drop-accounts en hun rol in verreikende criminaliteit beter te begrijpen, heeft de Evidence-Based Cybersecurity Research Group van de Georgia State University samen met The Conversation een vier maanden durend onderzoek gedaan naar deze financiële onderwereld. Het onderzoek omvatte uitgebreide surveillance van de interacties van criminelen op het dark web en geheime berichten-apps die een bijenkorf van illegale activiteiten zijn geworden.

Het onderzoek onderzocht ook video- en audiobanden van de bendes, gerechtelijke documenten, vertrouwelijke overheidsdocumenten, beëdigde verklaringen en transcripties van telefoontaps van de overheid. Uit de rapportage blijkt:

De technologische vaardigheden van straatbendes en andere criminele groepen zijn uitzonderlijk geavanceerd, waardoor ze miljarden kunnen plunderen van individuen, bedrijven, gemeenten, staten en de federale overheid.
Het aantal overvallen op postbodes is sterk geëscaleerd nu fraudeurs sleutels van openbare brievenbussen stelen in de eerste stap van een reeks misdaden die eindigt met drop-accounts die zijn volgeladen met miljoenen aan gestolen geld.
Een robuuste, anonieme online marktplaats biedt alles wat een aspirant-crimineel nodig heeft om drop-accountfraude te plegen, inclusief videotutorials en handboeken die de tactieken voor elke bank beschrijven . Het dark web en gecodeerde chatdiensten zijn one-stop-shops geworden waar cybercriminelen gestolen gegevens en hacktools kunnen kopen, verkopen en delen.
De federale overheid en de banken kennen de omvang en impact van de misdaad, maar hebben tot nu toe geen zinvolle actie ondernomen .

“Wat we zien is dat de fraudeurs samenwerken en de nieuwste technologie gebruiken”, zegt Michael Diamond, algemeen directeur digitaal bankieren bij Mitek Systems, een in San Diego gevestigde ontwikkelaar van systemen voor digitale identiteitsverificatie en detectie van valse cheques. “Deze twee dingen samen zorgen ervoor dat de fraudecijfers enorm stijgen.”

Boomjaren voor chequefraude

Bankmeldingen van gevallen van chequefraude voor zowel zakelijke als persoonlijke rekeningen zijn de afgelopen vijf jaar meer dan verdrievoudigd.

Grafiek: het gesprek, CC-BY-NDBron: Financial Crimes Enforcement Network

De groei is duizelingwekkend. Financiële instellingen meldden in 2022 meer dan 680.000 vermoedelijke fraudes met cheques, bijna het dubbele van de 350.000 van dergelijke meldingen het jaar daarvoor, volgens het Financial Crimes Enforcement Network van het ministerie van Financiën, ook bekend als FinCEN.

Alleen al door internettransacties kostte de zwendel die doorgaans wordt gefaciliteerd door drop-accounts individuen en bedrijven vorig jaar bijna 4,8 miljard dollar, een sprong van ongeveer 60% ten opzichte van vergelijkbare fraudeverliezen van meer dan 3 miljard dollar in 2020, meldde het Federal Bureau of Investigation .

Bovendien ging een deel van de naar schatting 64 miljard dollar die uit slechts één COVID-19-hulpfonds werd gestolen naar gangsters die afhankelijk zijn van drop-accounts, volgens een rapport van het Congres en een analyse van de Universiteit van Texas in Austin . Criminelen die drop-accounts gebruikten, raakten ook de pandemische werkloosheidsfondsen, die te maken kregen met ongepaste betalingen van maar liefst 163 miljard dollar, ontdekte het ministerie van Arbeid .

Experts zeggen dat de grote sommen overheidsgeld, bedoeld om de economische problemen als gevolg van COVID-19 te bestrijden, de snelle groei van drop-accountfraude hebben aangewakkerd, aangezien biljoenen dollars aan reddingsfondsen werden uitbetaald in de vorm van overboekingen en papieren cheques.

“Er was een groot aantal criminelen die tijdens de pandemie hierin zijn opgeleid”, zei een ambtenaar uit de banksector, die vanwege de gevoeligheid van de zaak op voorwaarde van anonimiteit sprak. “Veel van hen zijn opgegroeid tijdens de pandemie en hebben gezien dat het gemakkelijk is om veel geld te verdienen met deze plannen, met zeer weinig risico op vervolging.”

Uiteindelijk is de financiële wereld getuige van een chaotische transformatie van het fraude-ecosysteem van wetsovertreders, slachtoffers en overheden. De driehoek van toegenomen criminele verfijning, zwakke handhaving en een overvloed aan persoonlijke en zakelijke identiteiten die letterlijk wachten om van de straat te worden gehaald, heeft deze cyclus van diefstal aangewakkerd, een cyclus die geen tekenen van vertraging vertoont.

De cyclus van fraude

OOp een warme oktobermiddag in Orlando, Florida, hurkte een slungelige jongeman op de parkeerplaats van de Grace Alive Church en keek hoe een postbode zijn vrachtwagen naderde. De postbeambte wierp een blik op de man en zag zijn rode geruite pyjamabroek, zwarte hoodie en wit operatiemasker. De vervoerder opende de deur van de vrachtwagen en begon post te pakken om af te geven bij woningen aan Balboa Drive.https://youtu.be/7BrqAMx2vMg

Criminelen richten zich op brievenbezorgers voor hun pijltjestoetsen, waardoor ze toegang krijgen tot openbare mailboxen. Via Evidence-Based Cybersecurity Research Group

De man met de hoodie verscheen plotseling naast de postbode, die een pistool in de tailleband van de jongeman zag zitten. “Geef me je pijlsleutel”, zei hij volgens de rechtbankverslagen.

Een pijltjestoets . De universele sleutel van de US Postal Service die blauwe openbare brievenbussen, pakketkluisjes en appartementpanelen opent. De postbode worstelde met de sleutelhanger die aan zijn riem zat terwijl hij probeerde de man die hem beroofde te sussen.

‘Schiet op,’ zei de overvaller. “Er zijn kinderen in de buurt. Ik wil geen kinderen pijn doen.”

Uiteindelijk verwijderde de vervoerder met succes de sleutel van zijn vrachtwagen en overhandigde hij de ketting met de pijlsleutel. De overvaller liep Nowell Street over en stapte in een wachtende Jeep Grand Cherokee, die onmiddellijk vertrok.

Tot voor kort waren berovingen van postbezorgers relatief zeldzaam, maar deze zijn samen met de explosie van fraude met doorlopende rekeningen toegenomen. Het stelen van de sleutel is vaak de eerste stap in een misdaadcyclus die eindigt met het oplichten van banken en individuen voor honderden miljoenen dollars.

Dit soort overvallen kwam in 2018 nog maar 80 keer voor , maar is inmiddels bijna een dagelijkse gebeurtenis. In het fiscale jaar 2022 en de eerste helft van het fiscale jaar 2023 werden brievenvervoerders 717 keer beroofd, zo blijkt uit de statistieken van de postdienst . In 95% van die gevallen wilden de criminelen alleen de pijlsleutel, aldus Frank Albergo, voorzitter van de Postal Police Officers Association. “Het is volledig uit de hand gelopen”, zei hij.

Bij straatbendes volgt de misdaadcyclus meestal hetzelfde patroon. Eerst komt de diefstal van de pijlsleutel.

Dat wordt vervolgens overgedragen aan een ander bendelid, die de sleutel gebruikt om openbare brievenbussen te openen en de inhoud te stelen. Die diefstallen kunnen dagen duren; één sleutel opent maar liefst 600 dozen.

De postdief dumpt de post vervolgens in de auto en rijdt ermee naar de bendeleden die verantwoordelijk zijn voor het sorteren. De stapels papier worden gescheiden, waarbij elke cheque, creditcard of ander financieel instrument wordt verwijderd, evenals elk document dat kan worden gebruikt om een identiteit te stelen. Al het andere wordt weggegooid.

Om de drop-accounts te openen, bereiden anderen ID’s voor met behulp van de persoonlijke identiteitsinformatie die uit de post is gestolen, online is gehackt of online bij een verkoper is gekocht.

Na zes jaar het probleem grotendeels te hebben genegeerd, kondigde de Postal Service op 12 mei aan dat het de pijltjestoetsen zou vervangen door elektronische sloten. Maar het nieuws is veel minder vrolijk dan het lijkt.

Terwijl het technische personeel de mogelijkheden heeft onderzocht, omvat het contractproces van de Postdienst, dat nodig zou zijn voor het uiteindelijke ontwerp en de fabricage van sloten, 264 stappen en vergt het jaren van begin tot eind ; het moet nog beginnen met de eerste grote stap: het uitbrengen van een verzoek tot het indienen van voorstellen. Bovendien is het alleen van plan om ze eerst in een handvol steden uit te brengen. Met andere woorden: dieven hebben heel erg veel tijd om de pijltjestoetsen te blijven stelen.Louis DeJoy, de postmeester-generaal, erkende op 15 mei in een getuigenis voor het Congres dat, ondanks de aankondiging, elektronische sloten op korte termijn niet geïnstalleerd zouden worden. “Dit is een project van meerdere jaren”, zegt hij.

Hoe staan de sleutels centraal bij fraude met drop-accounts? Eenmaal gestolen door een bendelid, wordt de sleutel doorgegeven aan een ander bendelid, die deze gebruikt om verzamelboxen en appartementpanelen te plunderen. De dief brengt de gestolen post vervolgens naar bendeleden die verantwoordelijk zijn voor het sorteren. Die groep scheidt vervolgens elke cheque, creditcard of andere financiële en identiteitsinformatie.

Persoonlijke gegevens gevonden in gestolen post geven de bendes de namen en adressen van potentiële slachtoffers. Van daaruit doorzoeken de criminelen online databases – zowel legaal als illegaal – om toegang te krijgen tot geboortedata, burgerservicenummers en andere persoonlijke informatie, waaronder mogelijk e-mailadressen, rijbewijzen of paspoortnummers. Dit levert wat in het jargon van fraudeurs fullz wordt genoemd (uitgesproken als dwazen), wat staat voor ‘volledige inloggegevens’. Het is ook de naam die de bendes gebruiken voor de persoon die online criminele marktplaatsen beheert.

De fraudeurs hebben soms toegang tot beveiligde systemen bij kredietbeoordelaars die financiële en identificerende informatie voor miljoenen mensen bijhouden. Ons onderzoek heeft bijvoorbeeld een video ontdekt die op een gecodeerd fraudekanaal op Telegram Messenger is geplaatst, waarin iemand inlogt op wat lijkt op de TLOxp-database , beheerd door kredietbeoordelaar TransUnion. Dat op abonnementen gebaseerde systeem is vooral bedoeld voor bedrijven, rechtshandhavingsinstanties, universiteiten en andere officiële organisaties.

Maar de gegevens die beschikbaar zijn over diensten als TLOxp zijn nog waardevoller voor fraudeurs. Door ze te gebruiken betreden criminelen een walhalla van traditionele fullz-gegevens plus arbeidsverleden, niet-beursgenoteerde telefoonnummers, bezittingen, pandrechten, vonnissen en andere gegevens.

De website op de fraudeursvideo lijkt identiek aan het Advanced People Search-product van TLOxp. In een verklaring suggereerde TransUnion echter dat de straatbende die de video plaatste, in plaats daarvan hun eigen website had ontworpen om het te laten lijken alsof ze een TLOxp-abonnement hadden gekregen, terwijl dat niet het geval was. Het bedrijf zei dat de website op de video en de TLOxp-site “subtiele verschillen” bevatten die het niet zou identificeren en die niet duidelijk zijn.

Bovendien is de tweede pagina in de video, die volgens TransUnion is gekopieerd, alleen toegankelijk voor beoordeling via een abonnement. Het bedrijf voegde eraan toe dat “gegevensbeveiliging de topprioriteit van TransUnion is” en dat het zoekt naar verwijzingen naar TLOxp op internet “om mogelijk misbruik van gegevens aan het licht te brengen.”

Toegang tot deze gegevens maakt het openen van drop-accounts eenvoudig. Fraudeurs benaderen vaak de websites van banken via hun mobiele telefoon met behulp van wegwerp-simkaarten; de inloggegevens in de hand, maken de oplichters vervolgens een drop-account aan. Soms doen ze een kleine storting met schoon geld, maar vaak is dat niet nodig: de bendes weten welke banken een rekening voor een korte periode openhouden, zelfs als er geen contant geld op staat.

Op korte termijn ontvangen de criminelen een debetkaart die wordt afgeleverd op een afleveradres – bijvoorbeeld een gehuurd of gekocht huis – en op korte termijn is de valse rekening klaar voor gebruik.

Ondertussen hebben andere bendeleden de gestolen cheques gemanipuleerd. Bij het wassen van cheques wordt de geschreven inkt losgetrokken door een mengsel van aceton en antivriesmiddel uit de gasleiding te gebruiken, waardoor een blanco exemplaar ontstaat dat voor vele duizenden dollars kan worden ingevuld. Van daaruit wordt de cheque betaalbaar gesteld op de naam op de drop-account, gestort en wordt het geld bij een geldautomaat verwijderd.

Er bestaat ook een tactiek genaamd ‘check cooking’, waarbij criminelen de cheque scannen en de handtekening kopiëren met behulp van fotobewerkingssoftware. Vervolgens gebruiken ze diezelfde software om slachtoffer- en bankgegevens aan een aandelencontrole toe te voegen en de handtekening toe te passen, waardoor een vervalsing ontstaat die voor elk bedrag kan worden ingevuld.

Een bendelid regelt met behulp van een rollator een geldopname van een Wells Fargo-dropaccount. Via Evidence-Based Cybersecurity Research Group

Voor grotere opnames zijn soms persoonlijke bankbezoeken nodig, waardoor meer samenzweerders bij de zwendel betrokken raken. Met een aanbod van $200 tot $300 rekruteren zogenaamde makelaars ouderen of gehandicapten in de hoop dat bankbedienden minder snel hun geloofwaardigheid in twijfel zullen trekken. Indien nodig geven makelaars hun medewerkers nieuwe kleding en kapsels en brengen ze vervolgens naar de bank.

Daar brengen deze “wandelaars” debetkaarten voor drop-accounts en valse identiteitsbewijzen mee. Omdat niets aan hen erop wijst dat ze geen gevestigde klant zijn, controleren de tellers contant geld op basis van het bestaande saldo aan gestolen geld op de drop-accounts.

Vaak dragen wandelaars apparaten zoals AirPods die op hun telefoon zijn aangesloten, waardoor de bestuurder buiten realtime instructies kan geven over het afhandelen van de opname. Volgens een sectorfunctionaris die vanwege de gevoeligheid van de kwestie op voorwaarde van anonimiteit sprak, zijn banken begonnen filiaalmedewerkers te instrueren om uit te kijken naar mensen die oortjes dragen, maar zijn stemopnemers niet opgeleid om de geavanceerde georganiseerde misdaad te stoppen.

De marktplaats

Een advertentie op een criminele marktplaats waarin tools en instructies voor het uitvoeren van chequefraude worden gepromoot. Via Evidence-Based Cybersecurity Research Group

OIn een van de tientallen Telegram-fraudekanalen die we in de gaten hielden, klaagden gebruikers over de prijzen. Eén enkele gewassen cheque, of slipje, was met 250 dollar te duur, mopperden ze. Geërgerd plaatste een bendelid een audioreactie om de klanten, ook wel kaarders genoemd, op hun plaats te zetten.”Je zit in het spel waarin je $ 250 uitgeeft, en je verdient $ 30, $ 40, $ 50.000, en je klaagt, klaagt over prijzen”, zei hij in de opname. ‘Voor elke fullz in het spel moet je minstens $1.000 in rekening brengen voor elke slip die we verkopen. We zitten in een duizend dollar business. We doen geen zaken van $100, maat. Dus stop met klagen.”

Bovendien, zei hij, waren bendeleden degenen die het risico liepen in de gevangenis te belanden. ‘Wij nemen al het risico dat jullie doen wat jullie gaan doen. Je gaat niet eens de gevangenis in (onverstaanbaar) door de fout te maken en die dingen op de rekening van mensen te laten vallen. …We kunnen deze crackers niet vertellen dat we een slip aan die en die en die hebben verkocht voor $ 250, dus daarom krijg je 10 jaar. Zo werkt dat niet, kerel. Betaal de n****r die je helpt eten!

Het behoeft geen betoog dat de poging van de carders om over de prijs te onderhandelen mislukte.

Zo gaat het ook op de fraudemarktplaatsen van Telegram, waarvan de vrijlopende kanalen steeds vaker door straatbendes worden gebruikt om hun waren te verkopen en tips en technieken te geven voor het plegen van bankfraude.

De Telegram-kanalen tonen vaak foto’s en video’s van creditcards en betaalkaarten voor drop-accounts die zijn verkregen via gestolen of fictieve identiteiten. Ze tonen ook andere beschikbare goederen, waaronder details van bestaande drop-accounts, geldautomaten met het reeds gestorte bedrag, gestolen en vervalste cheques, cheques voor belastingteruggave, pijltjestoetsen en meer.

Er zijn gelikte advertenties, compleet met muziek en visuele effecten, voor video-tutorials die rond de $ 500 kosten en stap-voor-stap instructies geven over het openen van de rekeningen. En om sceptici te verleiden, tonen afbeeldingen vaak stapels contant geld.

Prijzen variëren op basis van de kwaliteiten van gestolen of valse identiteiten. Al lang bestaande identiteiten met goede kredietscores zijn meer waard dan vers gestolen identiteiten. Eén Telegram-fraudemarktplaats bood een identiteit van negen jaar oud aan met een perfecte betalingsgeschiedenis, drie open betaalkaarten bij drie banken en een kredietscore van 800. De prijs: $ 2.500.

Fraudeurs maken gebruik van geavanceerde technologie om valse identiteitsbewijzen te creëren die op criminele marktplaatsen worden verkocht. Via Evidence-Based Cybersecurity Research Group

De criminelen verkopen ook valse socialezekerheids- en identiteitskaarten die door wandelaars bij de banken kunnen worden gebruikt. Video’s op het platform laten zien hoe de bendes snel geavanceerde ID’s kunnen maken – een fraudekanaal toont zwarte lichten die anders onzichtbare hologrammen op rijbewijzen verlichten, een beveiligingsfunctie die door screenings van de Transportation Security Administration op luchthavens wordt gebruikt om te bevestigen dat een ID echt is.

Er is ook deepfake-software beschikbaar die pratende, ontroerende fictieve mensen creëert. Nu helpen livestreams met behulp van nieuw geavanceerde deepfakes bij ‘romantische oplichting’ , waarbij fraudeurs zich op eenzame mensen richten om hun genegenheid te winnen; Zodra slachtoffers voor de gek worden gehouden door te geloven dat ze online romantiek hebben gevonden, overtuigen de oplichters hen ervan dat ze geld nodig hebben voor een noodgeval. Als het doelwit ermee instemt, geeft de fraudeur bedradingsinstructies, vaak naar een drop-account.

De criminelen maken ook via rapvideo’s reclame op hun Telegram-kanalen. De teksten geven soms uitleg over hoe de misdaden worden gepleegd en tonen stapels geld. Eén rapvideo die we hebben gevonden, gaat over pinpasfraude. Het heet ‘Swipe It Up’ en biedt details over het plegen van de misdaad, inclusief het eraan herinneren van luisteraars om transacties te bevestigen wanneer banken hun brandertelefoons sms’en met vragen over mogelijke frauduleuze kosten. Enkele teksten zijn:

Via Evidence-Based Cybersecurity Research Group

Veeg het omhoog en ga aan de slag.

Ik bedoel veel.

Ik kreeg een klant aan de telefoon.

En als je een sms krijgt

Je kunt beter niet op nee drukken.

Veeg het omhoog en ga aan de slag…

…Voeg het toe aan de telefoon.

Het enige wat ik nodig had is een code.

Terwijl straatbendes en individuele dieven sinds 2020 de belangrijkste aanjagers zijn van drop-accountfraude, blijven traditionele hackers ook grote spelers. Ze verkopen dezelfde informatie die beschikbaar is op Telegram-kanalen, maar gebruiken het dark web om zaken te doen.

Hackers beroven geen brievenvervoerders, maar vertrouwen op online diefstal van fullz-gegevens . Een veelgebruikte techniek staat bekend als ‘digitaal skimmen’, waarbij hackers toegang krijgen tot betaalkaartgegevens die zijn ingevoerd op betaalpagina’s van online winkels. Maar de gemakkelijkste manier voor hackers om Fullz in handen te krijgen, is door te winkelen op een van de twee soorten darkweb-marktplaatsen . De eerste heet ‘ondergrondse hackwebsites’, die worden gebruikt door geavanceerde criminelen die al onlinegegevens hebben gestolen en meer willen.

“Ondergrondse hackwebsite is de plek waar je hacking kunt verhandelen, verkopen of kopen, of met andere hackers kunt praten”, zegt Hieu Minh Ngo, nu een cybersecurity-consultant in Vietnam die voorheen een fraudemarktwebsite beheerde tot zijn arrestatie in 2013 in de Verenigde Staten. Staten . “En dan kun je veel dingen zien, illegale dingen, zoals een pinautomaat, een gestolen creditcard, het burgerservicenummer, de geboortedatum, het rijbewijs en de volledige informatie.”

De tweede hackermarktplaats wordt cardingforums genoemd , die meer op Telegram-fraudekanalen lijken. Ze trekken klanten aan met beperkte of geen hackvaardigheden, maar die wel weten hoe ze bank- en creditcardfraude moeten plegen. Een van de grootste van dit soort forums is Bidencash , dat in maart 2022 werd geopend. Na met een laag profiel te zijn begonnen, maakten de exploitanten afgelopen juni bekend dat ze 7,9 miljoen betaalkaarten te koop hadden. Bij het éénjarig jubileum vierde Bidencash dit door 2,2 miljoen extra debet- en creditcards vrij te geven.

Terwijl verschillende groepen criminelen verschillende marktplaatsen betuttelen – Telegram-kanalen voor straatbendes, darkweb-forums en sites voor hackers – zijn de tactieken die door deze marktplaatsen worden gefaciliteerd onbedoeld begonnen samen te komen, omdat misdaden van de ene groep de fraude van een andere groep voeden.

In 2017 vielen hackers bijvoorbeeld Equifax, het kredietbeoordelaarsbureau, aan en stalen identiteitsinformatie van ongeveer 147 miljoen mensen . Die gegevens verschenen al snel op hackmarktplaatsen. Er volgden class action-rechtszaken; Equifax heeft een schikkingsfonds opgericht, dat geen e-mails heeft geretourneerd waarin om commentaar werd gevraagd; mensen die tot $ 20.000 verloren, konden claims indienen. Vervolgens betaalde het Equifax-fonds, in een onverklaarbare blunder, de schikkingen met per post verzonden cheques, waar straatbendes deze konden stelen. En stelen deden ze.

Cheques ter verrekening van schade veroorzaakt door de Equifax-hackers zijn nu te koop via de Telegram-fraudekanalen van straatbendes, klaar om op drop-accounts te worden gestort.

De misdaden

Via Evidence-Based Cybersecurity Research Group

IIn het voorjaar van 2021 overspoelden duizenden berichten met het woord ‘Womply’ de fraudekanalen van Telegram.‘Ik heb Womply geslagen,’ stond er op iemand. “Slaap er niet over.” Een andere gebruiker berichtte: “KRIJG BETAALD MET WOMPLY SAUCE EASY $ 10.000 – $ 20.000.” Ondertussen luisterden wetshandhavingsfunctionarissen in Orlando die een onderzoek naar drugshandel voerden naar telefoontaps naar leden van de Orange County misdaadorganisatie Army Gang terwijl ze opgetogen waren over Womply:

Heb je niemand die zijn werk op Womply wil doen ?

Wat is Womply ?

Man, dat is de website die echt aanslaat.

Ik weet niet wat de f ■■ k dat is.

Ook de wetshandhavers hielden het gesprek niet in de gaten.

Womply is een van de ongeveer twintig financiële technologiebedrijven die worden betaald voor het beheer van het Paycheck Protection Program, het leningprogramma om bedrijven te helpen aan hun loonbetalingen te voldoen tijdens de COVID-19-pandemie. Zijn rol was het verwerken van aanvragen voor leningen, het screenen op fraude en het rechtstreeks distribueren of autoriseren van betalingen van de Small Business Administration via financiële instellingen.

Het probleem was dat Womply, zoals de straatbendes al snel doorhadden, de klus niet aankon, waardoor er veel gepraat over het bedrijf ontstond. Het is opgericht door een veroordeelde misdadiger en heeft nooit grootschalige leningen verwerkt of op grote schaal financiële misdaden nageleefd . Het systeem was, zoals een directeur van een financiële firma die door Womply goedgekeurde leningen verstrekte, aan onderzoekers van het Congres vertelde, ‘een beetje in elkaar gezet met ducttape en kauwgom.’ Womply reageerde niet op een verzoek om commentaar.

De bendes overspoelden Womply met valse aanvragen voor niet-bestaande bedrijven, waarbij ze vervalste belastingdocumenten verstrekten als bewijs van kwalificatie voor leningen. Advertenties voor nieuwe producten die de beveiliging van Womply misleidden, verschenen op fraudekanalen. Om gezichtsherkenning te omzeilen, verkochten ze door de computer gegenereerde 3D-hoofden en plaatsten ze video’s waaruit bleek dat het Womply-systeem ze niet van echte gezichten kon onderscheiden.

Binnen enkele dagen na de Telegram-golf aan berichten waarschuwde Benworth Capital, een Womply-partner die goedgekeurde aanvragen afhandelde, het bedrijf dat het mogelijk zou moeten sluiten. “We beheren onze bankrelatie zeer nauw omdat ze bezorgd zijn over de hoeveelheid fraude die ze zien”, zei Bernie Navarro, de president van Benworth, in een e-mail van 7 mei 2021 aan Womply . “Kortom gezegd: we hebben al drie keer op de rand van sluiting gestaan.”

De online aanval op Womply laat de omvang zien van de fraude die mogelijk wordt gemaakt door het gebruik van drop-accounts door criminelen. Het wassen van cheques en het stelen van identiteiten leverden grote winsten op, maar de fraudeurs gaan ook achter het grote geld van bedrijven en overheden aan.

Een van de meest lucratieve plannen om de overheid te bedriegen is belastingteruggavefraude . Bij deze zwendel gebruiken criminelen identificatiegegevens van kleine bedrijven of individuen om terugbetalingen te eisen door valse belastingaangiften in te dienen . Omdat restituties worden verzonden zonder voorafgaande audit, stuurt de IRS een cheque of maakt het geld over naar een drop-account.

Het stelen van IRS-terugbetalingen is een grote misdaad die afhankelijk is van drop-accounts. Via Evidence-Based Cybersecurity Research Group

Individuen zijn het gemakkelijkste doelwit. Met behulp van fullz hebben de fraudeurs voldoende gegevens om valse aangiften in te dienen bij de IRS op naam van het slachtoffer en het geld vervolgens naar een schijnrekening te sturen met dezelfde persoonlijke informatie.

Kleine bedrijven kunnen een lucratiever doelwit zijn; Voor het insturen van een retourzending hebben de criminelen alleen het werkgeversidentificatienummer van een echt bedrijf nodig. Nog eenvoudiger: de fraudeur steelt of koopt een burgerservicenummer, gebruikt dit om een werkgeversnummer te verkrijgen en dient een frauduleuze aangifte in namens een bedrijf dat niet eens bestaat.

De daders imiteren een belastingbetaler door informatie van gestolen identiteiten te gebruiken en vragen vervolgens om kopieën van eerdere belastingaangiften. “Je ondergaat een identiteitscontrole, en aangezien je alles over deze persoon zou moeten weten, is dat helemaal geen probleem”, schreef een fraudeur met de naam Anthonyshane over het IRS-systeem in een drop-accounthandboek op het dark web.

“Ik heb geen enkel probleem gehad met het opvragen van eerdere belastingaangiften. Het is (sic) een geweldig hulpmiddel om het inkomen van een persoon te achterhalen en vertelt je ook of deze persoon een levensvatbaar slachtoffer is.

De beloningen voor fraude met terugbetalingen kunnen astronomisch zijn. Zeven mede-samenzweerders werden in maart aangeklaagd wegens het gebruik van gestolen identiteiten om 371 valse aangiften in te dienen waarin 111 miljoen dollar aan restituties werd geclaimd, die op prepaid-betaalkaarten en drop-accounts waren gestort.

Een groep van ten minste tien inwoners van Californië diende ongeveer 7.000 valse belastingaangiften in in een complot dat in 2016 eindigde en claimde een terugbetaling van $ 38 miljoen; de IRS betaalde meer dan $ 14 miljoen aan de criminelen op drop-rekeningen bij JP Morgan Chase, Citibank en andere financiële instellingen. Het geld werd gestort met behulp van gestolen identiteiten en op naam van nepbedrijven zoals Harhak Diamonds en Abraisyan Jewelry.

Een recente IRS-audit identificeerde meer dan 587.000 valse aangiften die in de eerste negen maanden van 2022 waren ingediend en waarin op illegale wijze 4,8 miljard dollar aan restitutie werd gevraagd; de audit meldde dat, alleen al van de illegale terugkeer die onderzoekers konden identificeren, ongeveer $ 200 miljoen werd uitbetaald.

Sommige programma’s die drop-accounts gebruiken om oplichtingsbedrijven te vergemakkelijken, vereisen geen gedetailleerde identiteitsinformatie om rijkdommen aan te boren. Een tactiek die door hackers en hun klanten wordt gebruikt, is het compromitteren van zakelijke e-mail. Door deze misdaad vinden fraudeurs het e-mailadres van een bedrijfsleider die bevoegd is om rekeningen te betalen, en sturen vervolgens een factuur naar die persoon, waarbij ze zich voordoen als een verkoper of klant. Als de directeur erin trapt, gaat het geld naar een drop-rekening. Dan pakken de fraudeurs het geld en verdwijnen.

De winsten – en de boetes – voor dit soort fraude kunnen groot zijn. In februari 2023 werden twee mannen uit Maryland veroordeeld tot samen veertien jaar gevangenisstraf vanwege hun rol in een dergelijk plan dat $ 13 miljoen opleverde. De mannen en hun mede-samenzweerders gebruikten e-mails met valse adressen om zich voor te doen als zakenpartners en verkopers van de slachtoffers, waardoor de bedrijven werden misleid om enorme sommen geld over te maken naar rekeningen bij Wells Fargo, Bank of America, TD Bank en Delta Community Credit Union. .

Een woordvoerder van TD zei: “Om onze klanten en de bank te beschermen, heeft TD sterke processen geïmplementeerd om potentiële fraude te identificeren, onderzoeken en af te schrikken.”

Wells Fargo weigerde commentaar te geven op de veiligheidsmaatregelen die het heeft getroffen om het openen van drop-accounts, zoals in het BEC-programma, te voorkomen, en zei dat dit de inspanningen om klanten te beschermen zou kunnen ondermijnen. Een Delta-functionaris zei dat de instelling in deze zaak geen aansprakelijkheidsclaims heeft ontvangen en dat zij zich houdt aan ‘best practices uit de sector op het gebied van fraudedetectie en -preventie’. Woordvoerders van Bank of America hebben geen herhaalde verzoeken om commentaar geretourneerd.

Bij deze misdaden zijn niet alleen mede-samenzweerders in de VS betrokken die geld via binnenlandse rekeningen laten lopen. Aldrin Fomukong, een fraudeur in Maryland, leidde bijvoorbeeld een wereldwijd compromitterend programma voor zakelijke e-mail waarbij criminelen in meerdere staten en Zuid-Afrika betrokken waren die stalen van Amerikaanse bedrijven. Dat geld werd eerst op drop-rekeningen in de VS gestort voordat het naar Tsjechië, Polen en andere landen werd overgemaakt . Fomukong en een aantal van zijn mede-samenzweerders pleitten schuldig, en de meesten werden veroordeeld tot jaren gevangenisstraf.

Een man met een zonnebril en een rood pak, zittend op de motorkap van een auto. — Aldrin Fomukong, die leiding gaf aan een samenzwering voor bedrijfsfraude die gebaseerd was op drop-accounts. Via WUSA9

Bedrijven zijn niet de enige prooi van criminelen die zich bezighouden met oplichting via e-mail. Met dezelfde tactiek richten oplichters zich ook op organisaties die grote sommen geld uitdelen zonder standaard bedrijfscontroles: politieke campagnes.

Bij de verkiezingen van 2022 ontving de campagne van de Republikeinse senator Jerry Moran uit Kansas e-mails met facturen van een crimineel die zich voordeed als SCRP Media, een politiek strategie- en reclamebureau.

Volgens een overheidsaanvraag heeft de campagne het geld – $345.000 in oktober en $345.000 in november – overgemaakt naar een drop-rekening bij Wells Fargo; slechts $ 168.000 kon niet worden opgenomen, wat de campagne meer dan een half miljoen dollar kostte. Hetzelfde gebeurde met de campagne van 2022 van het Republikeinse Congreslid Diana Harshbarger, die 186.000 dollar overmaakte naar een drop-account van een crimineel die zich voordeed als een legitieme verkoper.

Maar de meest gedurfde fraude tegen een politieke entiteit vond plaats in juni 2020, toen criminelen zich schaamteloos op de campagne van Joe Biden richtten. Met slechts een e-mail met daarin een factuur en bedradingsinstructies, maakten ze ongeveer $65.000 over naar een rekening van de Bank of America, waarmee ze geld achterhaalden dat was gedoneerd om de huidige president van de Verenigde Staten te helpen kiezen.

Mislukking van toezicht

Het aantal gestolen cheques dat wekelijks te koop is op een compilatie van zestig Telegram-fraudekanalen is gestegen van iets meer dan 100 in de herfst van 2020 tot enkele duizenden in 2022 .

Gegevens via Evidence-Based Cybersecurity Research Group

AIn een vertrouwelijke memo uit 2022 van de postinspectie aan het ministerie van Justitie werd een ernstige waarschuwing afgegeven: de gewapende overvallen op postbodes namen toe als nooit tevoren, waarbij criminelen pijlsleutels stalen.“Op het huidige traject zullen er naar schatting in de loop van twaalf maanden ruim 450 gewapende overvallen op USPS-brievenbezorgers plaatsvinden”, aldus het advies dat tijdens ons onderzoek werd verkregen. “Dit is een substantiële stijging van 400% sinds 2019.”

De postinspecteurs wisten waarom de overvallers de sleutels wilden hebben, volgens de eerder niet bekendgemaakte memo: door gebruik te maken van de pijltjestoetsen om in openbare brievenbussen in te breken, kregen criminelen toegang tot cheques, betaalkaarten en persoonlijke informatie waarmee ze identiteiten konden stelen, wat postfraude, telefoonfraude mogelijk maakte. fraude en bankfraude via drop-accounts.

“Nu het dark web en de georganiseerde misdaad deze onwettige activiteiten promoten, worden overvallen en postdiefstal steeds aantrekkelijker voor criminelen”, luidt de memo. De diefstallen “hebben impact op alle burgers en financiële instellingen wier post wordt gestolen en gebruikt voor illegale activiteiten.”

Maar toen de postdienst zes maanden later de crisis met het Congres besprak, vertelde het een beslist ander verhaal. Overvallen op brievenvervoerders als onderdeel van identiteitsdiefstal en fraude bleven onopgemerkt. In plaats daarvan concentreerden de inspecteurs zich op wie volgens hen de echte boosdoeners waren: postpersoneel.

“Ons Bureau voor Onderzoek heeft Operatie Secure Arrow geïnitieerd, een veelzijdige poging om werknemers die betrokken zijn bij de diefstal en het verkeerd gebruik van pijlsleutels te identificeren en te onderzoeken”, getuigde Melinda Perez, een assistent-inspecteur-generaal .

De lange terughoudendheid van de Postal Service om het Congres details te vertellen over gewapende overvallen op pijlsleutels en de daaropvolgende misdaden die in de memo van 2022 worden beschreven, onderstreept het onvermogen om de dreiging het hoofd te bieden, zelfs met de recente aankondiging over het verhogen van de belangrijkste beveiliging. In feite heeft de Post de zaken misschien nog erger gemaakt door in 2020 de autoriteit van de postpolitieagenten te veranderen.

In een memo van 25 augustus van dat jaar gaf de Postdienst managers de opdracht om te stoppen met het gebruik van postbeambten om brievenvervoerders te beschermen, en in plaats daarvan die wetshandhavingsorganisatie uitsluitend bedoeld om postkantoren en andere eigendommen te bewaken.

De verantwoordelijkheid voor het afhandelen van overvallen viel bij de postinspecteurs, die al waren belast met de handhaving van ongeveer 200 andere wetten, waardoor de vervoerders in wezen aan hun lot werden overgelaten. Terwijl de pijlsleutelovervallen zijn geëscaleerd, negeerden de inspecteurs de stijging in hun meest recente jaarverslag ; zij richten zich in plaats daarvan op het verbod op illegale verdovende middelen en andere misdaden.

Wanneer ze de arrestatie aankondigen van iemand die een postbode heeft beroofd, hebben de inspecteurs volgens de National Association of Police Organizations vaak de verantwoordelijkheid voor het oplossen van de zaak overgelaten aan de lokale wetshandhavingsinstanties .

In een recente getuigenis voor het Congres verklaarde de postmeester-generaal dat de dienst geen wettelijke bevoegdheid heeft om de postpolitie op te dragen om brievenvervoerders te beschermen. Deze verklaring druist echter in tegen de moderne geschiedenis en tegen de eigen handboeken van de dienst waarin de verantwoordelijkheden van de politiegroep worden beschreven als het omvatten van ‘mobiele patrouille(s) of escortebescherming’.

In februari zei een onafhankelijke arbiter dat het gezag van de postpolitie nog steeds door deze handboeken wordt beheerst. Bovendien stelt zelfs de memo uit 2020 dat senior managers de macht hebben om politietaken toe te wijzen die verder gaan dan posteigendom; de postdienst heeft er ondanks de overvalcrisis gewoon voor gekozen dit niet te doen.

De onwil om het probleem onder ogen te zien blijkt uit de cijfers. Volgens statistieken van de National Association of Postal Supervisors en het Bureau van de Inspecteur-Generaal zijn de klachten over postdiefstal van het publiek tussen 2017 en 2021 met 1.096% gestegen. In de twee jaar sinds 2020 is het aantal gewapende overvallen op brievenbezorgers met 144% gestegen .

Die stijging heeft niet geleid tot een grotere reactie van de wetshandhaving. Postinspecteurs hebben tussen het fiscale jaar 2020 en het fiscale jaar 2021 minder dan 1% van de klachten over postdiefstal onderzocht , ondanks dat ze als enige verantwoordelijk waren voor die taak. Het aantal arrestaties daalde met 39% van 2.487 in het begrotingsjaar 2018 naar 1.511 in het begrotingsjaar 2021.

Intussen zijn de misdaden die voortvloeien uit brievenbusovervallen enorm toegenomen. Het aantal gestolen cheques dat op 60 Telegram-marktplaatsen te koop was, steeg van 114 cheques per week in de herfst van 2020 tot ongeveer 2.000 in 2022. Geld dat van bankrekeningen werd weggenomen, was met 1,6 miljard dollar de duurste vorm van fraude, zo meldde de Federal Trade Commission . Creditcardfraude was koploper wat betreft identiteitsdiefstalverliezen, waarbij nieuwe accountfraude met 13% steeg.

Het aantal arrestaties en veroordelingen neemt af

Zelfs nu de klachten over postdiefstal van het publiek vertienvoudigd zijn, vervolgt de postdienst weinig zaken en zijn zowel het aantal arrestaties als het aantal veroordelingen gedaald.

Grafiek: het gesprek, CC-BY-NDBron: Amerikaanse postinspectiedienst

Met andere woorden: nu de misdaden die vaak beginnen met gestolen post en eindigen met financiële schade toenemen, is de reactie van de wetshandhaving teruggeschroefd. Totdat de posterijen en de openbare aanklagers agressiever worden, zeggen bankfunctionarissen, zal het probleem alleen maar erger worden.

“De regering wil dat we alle problemen oplossen en ons geen enkele hulp bieden”, zei de functionaris van de banksector. “Om dit te stoppen moet de postdienst de overvallen aanpakken en moeten meer cheque- en identiteitsdieven worden vervolgd. Deze mensen moeten een straf voelen, en op dit moment gebeurt dat niet.”

Een collage van Bank of America-kaarten en bankrekeningschermen. — Bendes rekenen hogere prijzen voor drop-accounts die zijn gekoppeld aan identiteiten met een hoge kredietwaardigheid. Via Evidence-Based Cybersecurity Research Group

AOp 28 november 2022 om 15.27 uur begon Bank of America met het verwerken van een rekeningaanvraag die online was ingediend door een crimineel die een valse identiteit gebruikte. Twee minuten later vroeg de bank de denkbeeldige persoon om zijn e-mailadres te bevestigen. Om 4:02 uur, slechts 35 minuten nadat de bank de aanvraag begon te beoordelen, stuurde de bank de crimineel een e-mail. “Geweldig nieuws!” de e-mail aangegeven – het account is goedgekeurd en klaar voor gebruik.Niemand van Bank of America heeft ooit zijn nieuwe klant gezien of gesproken voordat hij de drop-rekening opende die nu is ingesteld om illegaal geld te ontvangen. Niemand bevestigde dat de nieuwe klant van de bank was wie hij beweerde te zijn. Niemand wist waar het geld vandaan kwam dat zeker binnenkort zou worden gestort. En Bank of America was niet de enige bank die gemakkelijk te misleiden was: minder dan een uur voordat ze begon met het verwerken van de aanvraag voor een persoon die bankfunctionarissen nooit zouden ontmoeten, had Citibank een drop-rekening geopend voor dezelfde fraudeur.

De lijst van banken die gestolen en fictieve identiteiten hebben goedgekeurd om deze ontelbare duizenden rekeningen te openen, reikt veel verder dan alleen deze twee en omvat vrijwel alle grote bankinstellingen in het land, van JPMorgan Chase en Wells Fargo tot Capital One en TD Bank, aldus gerechtelijke documenten en functionarissen uit de banksector . De American Bankers Association weigerde commentaar op de zaak.

Met andere woorden: banken zijn bepaald niet de hulpeloze slachtoffers die zij beweren. In plaats daarvan zeggen financiële experts dat de explosie van drop-accounts alleen kan plaatsvinden als de banken een aantal van de strengste regels die hun activiteiten beheersen grotendeels negeren.

Volgens de wet zijn banken verplicht de inspanningen van de overheid ter bestrijding van het witwassen van geld en de financiering van terrorisme te ondersteunen. De pijlers van die verantwoordelijkheid zijn bekend onder een reeks acroniemen – Know Your Customer (KYC) , Know Your Business (KYB) , Customer Due Diligence (CDD) en het indienen van Suspicious Activity Reports (SAR’s) – die Anti-Money zijn. Witwasprogramma’s (AML) vereist door de Bank Secrecy Act (BSA).

Die mengelmoes van letters en namen is de verdediging tegen fraude die door het financiële systeem stroomt. Ze kunnen worden teruggebracht tot een eenvoudig concept: banken moeten weten met wie ze zaken doen. Dat betekent dat banken, voordat ze een rekening openen, identificatiegegevens van een potentiële klant moeten verzamelen, deze inloggegevens moeten analyseren om te bevestigen dat ze echt zijn, moeten bepalen of er bewijs is van een fysiek postadres en de geldbronnen moeten bevestigen.

Voor bedrijven moeten banken staatsdossiers controleren om te bevestigen dat de bedrijven bestaan, de identiteit van de eigenaren vaststellen en documenten verzamelen zoals de inkomstengeschiedenis om ervoor te zorgen dat er alarm afgaat als er plotseling grotere deposito’s dan normaal binnenkomen.

In het verleden zaten aanvragers bij het openen van een rekening bij een bankfunctionaris, dus het proces was eenvoudig. Maar het digitale tijdperk heeft daar verandering in gebracht, aangezien klanten die online solliciteren nu gereduceerd zijn tot een reeks enen en nullen in computercode, en ID’s slechts afbeeldingen zijn, en geen kaarten die kunnen worden vastgehouden en nauwkeurig kunnen worden bestudeerd.

Zelfs het verkrijgen van een handtekening in inkt, geschreven op het moment van de aanvraag, is onmogelijk. Vroeger moest een nieuwe klant met een eerste storting voorbereid zijn op het openen van een rekening; dat is niet altijd meer nodig voor online accounts.

Volgens een rapport van Insider Intelligence , een marktonderzoeksbureau, hebben klanten in 2022 naar schatting 13,1 miljoen nieuwe bankrekeningen geopend via telefoonapps en websites . Om nieuwe spaarders te winnen moeten banken ervoor zorgen dat de digitale aanvraag snel is. Het is immers veel gemakkelijker om het proces op een telefoon of computer te verlaten dan om weg te lopen van een bankfunctionaris die helpt met het invullen van het papierwerk.

Volgens het Insider Intelligence-rapport stijgt het aantal verlaten digitale applicaties zelfs enorm als het proces langer dan vijf minuten duurt; bij klanten die mobiele telefoons of andere mobiele apparaten gebruiken om zich aan te melden, kan dat percentage oplopen tot 40%.

Dat creëert een reden voor een competitieve race to the bottom: als een bank legitieme klanten aan andere instellingen zou kunnen verliezen als het aanvraagproces langer duurt dan bij de meeste popsongs, is de druk om identificatievereisten eenvoudiger te maken enorm. En dat, zeggen fraude-experts, leidt tot een schijnbare ineenstorting van de naleving door de banken van Know Your Customer en andere regels tegen het witwassen van geld – een realiteit die de explosie van drop-accounts aanwakkert.

“Als financiële instellingen hun klanten echt zouden kennen, zouden geen van deze problemen met drop-accounts bestaan”, zegt Dante Tosetti, een voormalig bankonderzoeker bij de Federal Reserve, die nu speciaal adviseur is van West Coast AML Services, een adviesbureau dat banken adviseert. over de antiwitwasregels. “Als banken deze rekeningopeningen zouden vertragen totdat ze meer verificatie van klanten zouden kunnen uitvoeren, zou dat een zeer goede controle zijn. Maar dat doen ze niet, omdat het niet past in hun businessplan.”

De inspanningen van banken om te voldoen aan de anti-witwasvereisten zijn vaak weinig meer dan betekenisloze ‘papieren programma’s’, zei Himamauli Das, waarnemend directeur van FinCEN, vorig jaar in een toespraak . “Dit komt vaak voor wanneer financiële instellingen groei boven compliance stellen en compliance alleen maar als een kostenpost beschouwen.”

Ambtenaren bij kleinere gemeenschapsbanken – waar rekeningen meestal persoonlijk worden geopend door omwonenden en lokale bedrijven – reageren bijna vol ongeloof dat hun gigantische, internationale broeders met honderden miljarden aan activa zo snel in digitaal bankieren zijn gestormd zonder zich voor te bereiden op de aanval van fraude die zou zeker volgen.

“Dat deze rekeningen worden geopend toont aan dat de banken geen robuuste (anti-witwas)programma’s hebben en dat de toezichthouders er niet voor zorgen dat ze dat wel doen”, zegt David G. Schroeder, senior vice-president bij de Community. Bankiersvereniging van Illinois. “We moeten de grote banken op hun verantwoordelijkheid houden, zodat ze stoppen met het openen van rekeningen die de kern vormen van deze criminele onderneming.”

De gemeenschapsinstellingen zijn bijzonder verontwaardigd omdat zij en hun klanten het slachtoffer zijn van het onvermogen van grote banken om het openen van drop-accounts effectief te bestrijden. Geldige cheques die op gemeenschapsrekeningen zijn geschreven, kunnen net zo waarschijnlijk worden onderschept door bendes die brievenbussen beroven.

Zo begint de reis door de cyclus van misdaad: gewassen of gekookt, herschreven voor grotere bedragen, via de mobiele app op valse rekeningen bij grote banken gestort, waarna het geld wordt opgenomen bij een geldautomaat of door een rollator. Het resultaat is dat de klant is bedrogen en dat geldige betaalrekeningen bij de gemeenschapsbanken illegaal worden leeggemaakt.

Technisch gezien dragen de grote financiële instellingen, aangezien de valse cheques op de illegaal geopende drop-rekeningen zijn gestort, de verantwoordelijkheid voor het terugbetalen van de gemeenschapsbanken en hun klanten. Maar ook al zijn de lokale banken in dit alles onschuldig, de gigantische financiële conglomeraten doen er alles aan om hen te compenseren.

De gemeenschapsbankiersgroep in Illinois heeft het voortouw genomen in de strijd tegen de onverzettelijkheid van grote banken en heeft federale toezichthouders – de Federal Deposit Insurance Corporation, de Comptroller of the Monet en de Federal Reserve – gesmeekt om in te grijpen.

“De grootste banken maken een zwakke schakel in deze misdaadketen mogelijk door überhaupt toe te staan dat frauduleuze rekeningen worden geopend”, schreef Schroeder in februari aan toezichthouders.

Schroeder rapporteerde in zijn brief aan toezichthouders sombere statistieken uit een onderzoek onder gemeenschapsbanken. Zestig procent van de kleine banken in zijn staat ondervond problemen bij het verkrijgen van terugbetaling door de grote instellingen die verantwoordelijk waren voor het probleem. De gemeenschapsbankiers zeiden dat als ze terugbetaling ontvangen, dit wel 18 maanden kan duren. Wat betreft de claims die open blijven: in 65% van die gevallen namen de grote banken niet eens de moeite om terug te bellen naar de gemeenschapsbanken.

In 2022 leden de gemeenschapsbanken in Illinois gemiddeld $30.000 verliezen – een klein bedrag voor de financiële reuzen, maar een enorm bedrag dat een efficiënte bedrijfsvoering bij de lokale instellingen belemmert. Als dat gemiddelde geldt voor de 4.548 gemeenschapsbanken in het hele land, is er vorig jaar ruim $136 miljoen aan deze lokale instellingen onttrokken. De toezichthouders reageerden min of meer op de brief van Schroeder.

Ondanks hun traditionele standaard om te weigeren ruzies binnen bedrijfstakken te beslechten, onderhandelen toezichthouders over een raamwerk om de problemen bij de gemeenschapsbanken in Illinois, veroorzaakt door de mislukkingen bij de grote financiële conglomeraten, aan te pakken. Ambtenaren uit Illinois hebben besproken wat ze doen met gemeenschapsbankverenigingen in het hele land, zegt Schroeder, in de hoop dat de anderen hen zullen volgen. Maar er is nog een lange weg te gaan.

“We zijn pas in de vierde inning”, zei Schroeder. “We hopen wat momentum op te bouwen en in de komende zes maanden een overeenkomst te bereiken.”

Maar met een financieel systeem vol fraude is nog eens zes maanden wachten op de regelgeving een eeuwigheid. Als het verleden een indicatie is, zal er in die tijd nog eens 65 miljoen dollar verloren gaan bij gemeenschapsbanken, zullen miljoenen poststukken worden gestolen, zullen ontelbare miljarden worden opgelicht door individuen, bedrijven en overheden, en zullen gigantische financiële instellingen hun handtekening zetten onder de opening. duizenden nieuwe drop-accounts nodig om de misdaad te vergemakkelijken.

Intussen zullen straatbendes, hackers en de georganiseerde misdaad een van de grootste diefstallen uit de Amerikaanse geschiedenis voortzetten.