Experi-Metal / Comerica - Experi-Metal v. Comerica - Wikipedia

Experi-Metal / Comerica Bank
MahkemeMichigan Doğu Bölgesi için Amerika Birleşik Devletleri Bölge Mahkemesi
Tam vaka adıExperi-Metal, Inc., - Comerica Bank
Karar verildi13 Haziran 2011
AlıntılarBelge Numarası: 2: 2009cv14890
Vaka görüşleri
Çevrimiçi banka havaleleri için sipariş kabul ederken "iyi niyet", bir bankanın makul ticari adil işlem standartlarını karşılamasını gerektirir. Bu standartlara uyulmaması, işlemleri geçersiz kılabilir.
Mahkeme üyeliği
Hakim (ler) oturuyorTatlım. Patrick J. Duggan
Anahtar kelimeler
Çevrimiçi bankacılık saldırıları, kimlik avı ve internet bankası dolandırıcılığı, banka havalesi dolandırıcılığı, Zeus Truva Atı

Experi-Metal, Inc., - Comerica Bank (belge numarası: 2: 2009cv14890), Michigan Doğu Bölgesi için Amerika Birleşik Devletleri Bölge Mahkemesi bir durumda e-dolandırıcılık Experi-Metal'in çevrimiçi bankacılık hesapları üzerinden 1,9 milyon ABD doları tutarında yetkisiz banka havalesi ile sonuçlanan saldırı. Mahkeme, bankanın transferleri hileli olarak tanımadığı için iyi niyetle hareket etmediği gerekçesiyle, kimlik avı saldırısından kurtarılamayan 560.000 ABD Doları tutarındaki zarardan Comerica'yı sorumlu tuttu.

Arka fon

Michigan merkezli bir Macomb şirketi olan Experi-Metal, merkezi Dallas, Teksas'ta bulunan Comerica'da hesaplar tutuyordu. Experi-Metal, İnternet üzerinden ödemeleri ve gelen fon transferlerini gönderip almasına olanak tanıyan bir NetVision Banka Havalesi hizmetine kaydolmuştu.[1]

Kimlik avı saldırısı

22 Ocak 2009'da yaklaşık 07: 35'te bir Experi-Metal çalışanı, "Comerica Business Connect Müşteri Formu" olduğu iddia edilen bir web sayfasına bağlantı içeren bir kimlik avı e-postası açtı. E-postanın bağlantısını takiben, çalışan daha sonra kendi güvenlik belirteci kimlik, Web Kimliği ve sahte bir siteye giriş bilgileri. Sonuç olarak, dolandırıcı üçüncü şahıslar Experi-Metal'in Comerica'da tutulan hesaplarına erişim sağladı.[1]

Saat 07:30 ile 14:02 arasındaki altı buçuk saatlik bir süre içinde Experi-Metal'in hesaplarından toplam 1.901.269,00 ABD Doları tutarında 93 adet dolandırıcılık yapıldı. Transferlerin çoğu Rusya, Estonya ve Çin'deki banka hesaplarına yönlendirildi.[1]

Saat 07:40 ile 13:59 arasında, phishing saldırısından elde edilen bilgiler kullanılarak hesaplar arasında 5,6 milyon ABD doları tutarında transfer gerçekleştirildi. Bir hesapta, transferler 5 milyon ABD $ 'lık bir kredili mevduatla sonuçlandı.[1]

Saat 11: 30'da Comerica, olası dolandırıcılık konusunda bir telefon görüşmesi ile uyarıldı. JP Morgan Chase Experi-Metal hesabından Moskova, Rusya'daki bir bankaya gönderilen şüpheli banka havalelerini fark eden çalışan. Comerica, 11:47 ile 11:59 arasında bir süre transferler konusunda Experi-Metal'i uyardı ve yasal hesap sahibinin gün içinde herhangi bir işlem yapmadığını doğruladı. Saat 12: 25'te Comerica, Experi-Metal'in çevrimiçi bankacılık işlemlerini durdurdu ve kullanıcısını "öldürmeye" başladı oturum, toplantı, celse Comerica çevrimiçi hizmetinden transfer yapan kişileri zorla çıkarma girişiminde bulunmak.[1]

Comerica, transferlerin bir kısmını kurtarmada başarılı oldu. Kimlik avı programından kaynaklanan dolandırıcılık aktarımlarında toplam 561.399 ABD doları kaybedildi.[1]

Michigan'daki ABD Bölge Mahkemesinin Görüşü

Mahkeme kararında iki ana konuyu değerlendirdi. İlk sorun, gizli bilgileri hileli devirleri başlatmak için kullanılan Experi-Metal çalışanının şirket adına devir başlatmaya yetkili olup olmadığı ve karşılığında Comerica'nın siparişleri kabul ederken kendi güvenlik prosedürlerine uyup uymadığı idi. İkinci sorun, Comerica'nın Experi-Metal'in hesabındaki siparişleri kabul ederken "iyi niyetle" hareket edip etmediğiydi.[1]

Hileli aktarımları başlatan kullanıcı bilgileri

Kimlik avı olayının kurbanı olan Experi-Metal çalışanının şirket adına banka havalesi yapma yetkisinin olup olmadığı konusunda bazı sorular vardı. Sorun, Comerica'nın 22 Ocak 2009'da hesap kullanıcı bilgileri kullanılarak yapılan banka havalelerini kabul ettiğinde güvenlik prosedürlerine uyup uymadığı bağlamında ortaya çıktı.

Mahkeme, çeşitli bağlamsal faktörleri değerlendirdikten sonra, hesap kullanıcı bilgilerini sağlayan çalışanın Experi-Metal adına Comerica ile transferleri başlatma yetkisine sahip olduğu sonucuna varmıştır. Sonuç olarak Comerica, siparişleri kabul ettiğinde kendi güvenlik protokollerine uygun bulundu.

İyi niyet

Davadaki ikinci bir mesele, Comerica'nın hileli üçüncü şahıslar tarafından başlatılan banka havalelerinin kabul edilmesindeki 'iyi niyet' meselesiyle ilgiliydi.

Michigan yasalarına göre, banka havalesi siparişleri, belirli kriterlerin karşılanması şartıyla, müşteri tarafından gerçekten sipariş edilmemiş olsa bile, müşterinin siparişleri olarak geçerlidir.[2] Bu durumda sorun, siparişlerin iyi niyetle ve müşterinin güvenlik prosedürlerine, yazılı anlaşmalarına veya talimatlarına uygun olarak kabul edilip edilmediğiydi. Comerica'ya Experi-Metal hesabından verilen siparişler "iyi niyetle" alınmasaydı, geçerli olmayacaktı.

Mahkeme, Comerica'nın güvenlik prosedürlerinin ticari olarak makul olduğuna karar verirken, bankanın hileli transferlere ilişkin emirleri iyi niyetle kabul ettiğini kanıtlayamadı. Michigan yasalarına göre iyi niyet, "gerçekte dürüstlüğü ve adil ticaret için makul ticari standartlara uyulmasını" gerektirir.[3]

Comerica çalışanlarının hileli emirleri kabul ederken dürüst olmayan bir şekilde davrandıklarına dair herhangi bir öneri olmadığı için mahkeme, adil işlem için makul ticari standartları ele alan iyi niyet testinin unsuruna geçti. Burada mahkeme, Comerica'nın, çalışanlarının hileli transferler bağlamında ve özellikle de Experi-Metal hesaplarına yapılan olağandışı fazla krediler bağlamında makul ticari adil ticaret standartlarını karşıladığını kanıtlama yükünü karşılayamadığını tespit etti. Bu son noktada, mahkeme, genellikle 0 dolar bakiyesi olan bir Experi-Metal hesabında 5 milyon ABD doları tutarındaki kredili mevduata özel atıfta bulunmuştur.

Sonuç

Öncelikle Experi-Metal'in çevrimiçi banka havalesi emirlerinin iyi niyetle alınmadığı gerekçesiyle mahkeme Comerica'ya, Experi-Metal'in zararlarını tazmin etmesini emretti. Comerica'nın mahkeme dışı bir çözüme ulaştığı bildirildi[4] Experi-Metal ile mahkemenin kararından kısa süre sonra.

Önem

Experi-Metal / Comerica ABD'de çevrimiçi bankacılık sahtekarlığıyla ilgili yeni ortaya çıkan bir içtihat alanında nispeten erken bir kararı temsil etmektedir.

Benzer ABD çevrimiçi bankacılık dolandırıcılık vakaları

Patco Construction / People's United Bank'ta[5] a Maine'deki ABD Bölge Mahkemesi Davalı bankanın, Zeus keylogger kötü amaçlı yazılım saldırılarından kaynaklandığına inanılan sahte transferlerdeki 588.000 ABD Doları'ndan sorumlu olmadığına karar verdi.

Patco, kötü amaçlı yazılım saldırıları sırasında bir çevrimiçi bankacılık müşterisi ve Halk Bankası'nda hesap sahibiydi. 7 Mayıs ve 16 Mayıs 2009 arasında, bilinmeyen üçüncü şahıslar Patco'nun hesabından toplam 588.851 ABD Doları tutarında birden çok çevrimiçi transfer gerçekleştirdi. Nihayetinde banka, dolandırıcılık amaçlı transferlerin 243.406 ABD Dolarını bloke edebildi.

Patco, kayıplarının Halk Bankası'nın yetersiz çevrimiçi güvenliğiyle ilgili olduğunu iddia etti. Mahkeme, Halk Bankası'nın bazı güvenlik zayıflıklarından muzdarip olduğunu, ancak genel olarak güvenlik prosedürlerinin ticari olarak makul olduğunu tespit etti. Buna göre, hileli transferlerden kaynaklanan zararlardan bankanın sorumlu olmadığını tespit etti. Bu davanın gerçekleri, Experi-Metal / Comerica, iki karar arasındaki zıtlığı uzlaştırmak zor olabilir.[kime göre? ] Ancak Temmuz 2012'de bu karar temyiz mahkemesi tarafından bozulmuştur. Partiler daha sonra mahkemeden çıkarıldı ve People's United Bank Patco'nun hesabından çalınanların geri kalanını ve 45.000 $ faiz ödedi.

"Dönüm noktası niteliğindeki bir kararda, 1. Devre Temyiz Mahkemesi," Patco Construction Company, Inc. v. People's United Bank ", No. 11-2031 (1 Cir. 3 Temmuz 2012), People's United Bank (d / b / a Ocean Bank), PATCO'nun banka hesabından çalınan yaklaşık 580.000 $ 'ı müşterisi PATCO Construction Co.'ya geri ödemesi gerekiyordu. Bunu yaparken mahkeme, ABD'nin Maine Bölgesi Bölge Mahkemesinin kararını bozdu. bankanın lehine özet karar verdi. " [6]

İçinde Village View / Profesyonel İşletme Bankası[7] benzer bir iddia da Kaliforniya Yüksek Mahkemesi Village View, 16–17 Mart 2010 tarihinde Professional Business Bank nezdindeki hesabından yapılan yetkisiz ve hileli banka havalelerinin bir sonucu olarak ortaya çıkan zararlardan toplam 195.874 ABD doları tutarında dava açmıştır.

Saldırılar, şüphesiz çalışanlar tarafından kabul edilen ve Village View ağına açılan, UPS kargo makbuzu kılığına giren bir bankacılık Truva Atıyla başladı. Dosyanın daha sonra Village View hesabından her transfer yapıldığında banka tarafından gönderilen e-posta bildirimlerinin devre dışı bırakılması dahil olmak üzere çeşitli şeyler yapan kötü amaçlı yazılım içerdiği bulundu.[8] Hileli transferler, Letonya'daki bankalar da dahil olmak üzere uluslararası hesaplara yapıldı.[9]

Village View Escrow, yetkisiz transferlerin Professional Business Bank'ın yetersiz güvenlik sisteminin bir sonucu olduğunu iddia ediyor. Özellikle, Village View, Professional Business Bank'ın California yasalarına uygun olarak 'ticari olarak makul güvenlik' prosedürleri sağlamada başarısız olduğunu iddia etmektedir.[10] ve buna bağlı olarak banka havalesi siparişlerinin 'iyi niyetle' kabul edilmemesi.[11]

ABD'deki kimlik avı ve banka dolandırıcılığı eğilimleri

Banka havalesi dolandırıcılığı ve e-dolandırıcılık alt türleri banka dolandırıcılığı Experi-Metal'e karşı kullanılır.

ABD bankacılık kurumları arasında, Aralık 2011'de ABD ulusal bankalarının en sık% 85 ile kimlik avı tarafından hedeflendiği görülürken, onu% 9 ile bölgesel ABD bankaları ve% 6 ile ABD kredi birlikleri izledi.[12] Aynı dönemde dünya çapında genel kimlik avı hacmi açısından, İngiltere% 50 ile hedef oldu ve onu% 28 ile ABD,% 5 ile Brezilya,% 4 ile Güney Afrika ve% 2 ile Kanada izledi.[13]

Gibi kötü amaçlı yazılımlar Zeus Truva Atı suçlular tarafından kişisel bankacılık bilgilerini çalmak için yoğun bir şekilde kullanılmıştır ve bu bilgiler daha sonra kurbanların banka hesaplarından hileli transferler yapmak için kullanılabilir. Bazı durumlarda, saldırıların failleri hem ABD'de yakalandı hem de yargılandı.[14] yanı sıra diğer ülkelerde.[15]

Çevrimiçi bankacılık dolandırıcılığını kovuşturmanın zorluğu

Faaliyet türleri Experi-Metal / Comerica altına düşebilir Bilgisayar Dolandırıcılığı ve Kötüye Kullanım Yasası Suç olarak, çevrimiçi ortamda yargı yetkisini belirleme, failleri belirleme ve kanıt toplama zorlukları, bu tür mevzuatı uygulama girişimlerinde potansiyel olarak önemli engeller olmaya devam etmektedir.[16]

Referanslar

  1. ^ a b c d e f g "Experi-Metal, Inc., v. Comerica Bank (Belge Numarası: 2: 2009cv14890)". ABD Bölge Mahkemesi, Michigan Doğu Bölgesi. 13 Haziran 2011.
  2. ^ "TEK TİP TİCARİ KOD (HARİÇ) 1962 Yasası 174 s. 440.4702". Michigan Eyalet Yasama Meclisi.
  3. ^ "TEK TİCARİ KOD (HARİCİ) 1962 Yasası 174 s. 440.4605 (1) (f)". Michigan Eyalet Yasama Meclisi.
  4. ^ "Comerica Güncellenen Güvenlik Kuralları Durumunu Zayıflattıktan Sonra Yerleşiyor". Amerikan Bankacı. 3 Ağustos 2011. Erişim tarihi: 25 Şubat 2012.
  5. ^ "Patco Construction Company, Inc., - People's United Bank d / b / a Ocean Bank, No. 2: 09-cv-503-DBH (D.Me. 27 Mayıs 2011)" (PDF). ABD Dist. Ct. Maine ve onadı "Medeni No. 09-503-P-H (D.Me. 4 Ağustos 2011) PATCO CONSTRUCTION COMPANY INC - PEOPLES UNITED BANK". Justia.com.
  6. ^ "Birinci Devre Temyiz Mahkemesi, Bankanın Çevrimiçi Güvenlik Tedbirlerini" Ticari Açıdan Mantıksız "Dönüm Noktası Kararında - Sigorta - Amerika Birleşik Devletleri". Mondaq.com. Alındı 3 Kasım 2013.
  7. ^ "Village View, Inc., Professional Business Bank'a Karşı, Dava No. YC064405 (Cal Sup Ct) - Davacının Professional Business Bank'a Karşı İlk Düzeltilmiş Şikayeti (27 Haziran 2011)". 27 Kasım 2006. ismgcorp.com.
  8. ^ "Bilgi Güvenliği Medya Grubu - ISMG". ISMGCorp.com. Alındı 14 Şubat, 2017.
  9. ^ "Cybercrooks Firmasını hacklemek için Trojan Kullanırken Binlerce Dolardan Borçlu Şirket Kaybetti - SpywareRemove.com". SpywareRemove.com. Alındı 14 Şubat, 2017.
  10. ^ Kaliforniya Ticaret Kanunu Bölüm 11202 (b) (i) - (ii) ve (c) uyarınca "Ticari olarak makul güvenlik sağlamada iddia edilen başarısızlık".
  11. ^ California Ticari kanunun 11202 bölümü uyarınca "iyi niyetle siparişleri kabul etmeme iddiası".
  12. ^ RSA. "RSA Aylık Çevrimiçi Dolandırıcılık Raporu - Ocak 2012 - Kimlik Avında Yıl" (PDF). RSA.com. s. 3. Arşivlenen orijinal (PDF) 12 Mayıs 2012.
  13. ^ RSA, s. 4.
  14. ^ "Nikolay Garifulin, Manhattan Federal Mahkemesinde ABD Banka Hesaplarından Milyonlarca Dolar Çalmak için" Zeus Truva Atı "Kullanan Küresel Banka Dolandırıcılık Programına Katılmaktan Suçlu Olduğunu Kabul Etti". FBI.gov. 23 Eylül 2011. Alındı 14 Şubat, 2017.
  15. ^ Kovacs, Eduard (5 Ekim 2011). "ZeuS Truva Atı Banka Soyguncuları Nihayet Mahkum Edildi". Softpedia.com. Alındı 14 Şubat, 2017.
  16. ^ "Siber suç yasalarının uygulanmasını bu kadar zor kılan şey - TechRepublic". TechRepublic.com. 26 Ocak 2011. Alındı 14 Şubat, 2017.