Experi-Metal v. Comerica - Experi-Metal v. Comerica - Wikipedia

Experi-Metal v. Comerica Bank
SoudOkresní soud Spojených států pro východní obvod Michiganu
Celý název případuExperi-Metal, Inc., v. Comerica Bank
Rozhodnuto13. června 2011
CitaceČíslo dokladu: 2: 2009cv14890
Názory na případy
„Dobrá víra“ při přijímání příkazů k online bankovním převodům vyžaduje, aby banka splňovala přiměřené obchodní standardy poctivého obchodování. Nedodržení těchto standardů může vést k neplatnosti transakcí.
Členství v soudu
Sedící soudciHon. Patrick J. Duggan
Klíčová slova
Útoky online bankovnictví, phishing a podvody s internetovými bankami, bankovní převody, Zeus Trojan

Experi-Metal, Inc., v. Comerica Bank (číslo doku: 2: 2009cv14890) je rozhodnutí Okresní soud Spojených států pro východní obvod Michiganu v případě a phishing útok, jehož výsledkem byly neoprávněné bankovní převody ve výši 1,9 milionu USD prostřednictvím účtů online bankovnictví společnosti Experi-Metal. Soud rozhodl, že Comerica je odpovědná za ztráty ve výši 560 000 USD, které se nepodařilo získat zpět z phishingového útoku, z důvodu, že banka nejednala v dobré víře, když neuznala převody jako podvodné.

Pozadí

Společnost Experi-Metal, společnost se sídlem v Macombu v Michiganu, vedla účty společnosti Comerica se sídlem v Dallasu v Texasu. Společnost Experi-Metal se zaregistrovala pro službu NetVision Wire Transfer, která jí umožňuje odesílat a přijímat platby a příchozí převody prostředků přes internet.[1]

Phishingový útok

Přibližně v 7:35 hodin dne 22. ledna 2009 zaměstnanec společnosti Experi-Metal otevřel phishingový e-mail obsahující odkaz na webovou stránku, která měla být „formulář zákazníka Comerica Business Connect“. Po odkazu na e-mail poté zaměstnanec poskytl svůj bezpečnostní token identifikace, WebID a přihlašovací údaje k falešným stránkám. Výsledkem je, že podvodné třetí strany získaly přístup k účtům Experi-Metal vedeným u Comerica.[1]

Za šest a půl hodiny mezi 7:30 a 14:02 bylo z účtů Experi-Metal provedeno 93 podvodných převodů v celkové výši 1 901 269,00 USD. Většina převodů byla směrována na bankovní účty v Rusku, Estonsku a Číně.[1]

Mezi 7:40 a 13:59 byly mezi účty provedeny převody v celkové výši 5,6 milionu USD pomocí informací získaných z phishingového útoku. Na jednom účtu vedly převody k přečerpání ve výši 5 milionů USD.[1]

V 11:30 byla Comerica upozorněna na potenciální podvod telefonním hovorem z JP Morgan Chase zaměstnanec, který si všiml podezřelých bankovních převodů zaslaných z účtu Experi-Metal do banky v Moskvě v Rusku. Někdy mezi 11:47 a 11:59 hod., Comerica upozornila Experi-Metal na převody a potvrdila, že legitimní držitel účtu neprovedl během dne žádné transakce. Do 12:25 hod. Comerica pozastavila online bankovní transakce Experi-Metal a začala „zabíjet“ svého uživatele zasedání ve snaze násilně odstranit lidi provádějící převody ze služby online Comerica.[1]

Comerica byla úspěšná při získávání části převodů. Celkem bylo při podvodných převodech vyplývajících z phishingového schématu ztraceno 561 399 USD.[1]

Stanovisko okresního soudu USA v Michiganu

Soud ve svém rozhodnutí zvážil dvě hlavní otázky. Prvním problémem bylo, zda zaměstnanec Experi-Metal, jehož důvěrné informace byly použity k zahájení podvodných převodů, byl oprávněn zahájit převody jménem společnosti, a dále to, zda Comerica při přijímání objednávek dodržovala své vlastní bezpečnostní postupy. Druhým problémem bylo, zda Comerica při přijímání objednávek na účet Experi-Metal postupovala „v dobré víře“.[1]

Informace o uživateli, které inicializují podvodné převody

Existovala otázka, zda byl zaměstnanec Experi-Metal, který se stal obětí phishingového incidentu, oprávněn provádět bankovní převody jménem společnosti. Tato otázka byla nastolena v souvislosti s tím, zda společnost Comerica dodržovala své bezpečnostní postupy, když 22. ledna 2009 přijala bankovní převody, které byly provedeny pomocí údajů o jeho uživatelském účtu.

Po zvážení několika kontextových faktorů dospěl soud k závěru, že zaměstnanec, který poskytl informace o uživateli svého účtu, byl oprávněn zahájit převody se společností Comerica jménem společnosti Experi-Metal. Výsledkem bylo zjištění, že Comerica při přijímání objednávek dodržovala své vlastní bezpečnostní protokoly.

Dobrá víra

Druhá věc v této věci se týkala otázky „dobré víry“ ze strany Comerica při přijímání bankovních převodů iniciovaných podvodnými třetími stranami.

Podle zákonů v Michiganu jsou objednávky bankovním převodem účinné jako objednávky zákazníka, i když ve skutečnosti nejsou objednány zákazníkem, pokud jsou splněna určitá kritéria.[2] V tomto případě šlo o to, zda byly objednávky přijaty v dobré víře a v souladu s bezpečnostními postupy, písemnými dohodami nebo pokyny zákazníka. Pokud by objednávky zadané společnosti Comerica na účet Experi-Metal nebyly přijaty „v dobré víře“, nebyly by účinné.

Přestože soud shledal, že bezpečnostní postupy Comerica jsou komerčně přiměřené, shledal, že banka neprokázala, že v dobré víře přijala příkazy k podvodným převodům. Podle michiganských zákonů vyžaduje dobrá víra „poctivost a dodržování přiměřených obchodních standardů pro poctivé jednání“.[3]

Protože nic nenasvědčovalo tomu, že by zaměstnanci Comerica postupovali při přijímání podvodných příkazů nepoctivě, přistoupil soud k prvku testu dobré víry, který se zabýval přiměřenými obchodními standardy pro poctivé jednání. Zde soud shledal, že Comerica nesplnila důkazní břemeno o tom, že její zaměstnanci splňovali přiměřené obchodní standardy poctivého obchodování v souvislosti s podvodnými převody, zejména pokud jde o neobvyklé přečerpání účtů Experi-Metal. V tomto posledním bodě se soud konkrétně zmínil o přečerpání 5 milionů USD na účtu Experi-Metal, který měl obvykle zůstatek 0 USD.

Výsledek

Především na základě toho, že online příkazy k převodu společností Experi-Metal nebyly obdrženy v dobré víře, soud nařídil společnosti Comerica, aby nahradila společnosti Experi-Metal ztráty. Comerica údajně dosáhla mimosoudního urovnání[4] brzy po rozhodnutí soudu s Experi-Metal.

Význam

Experi-Metal v. Comerica představuje relativně brzké rozhodnutí v rozvíjející se oblasti judikatury týkající se podvodů s online bankovnictvím v USA.

Podobné případy podvodů s online bankovnictvím v USA

In Patco Construction v. People's United Bank[5] A Americký okresní soud v Maine rozhodl, že žalovaná banka neodpovídá za 588 000 USD za podvodné převody, o nichž se věřilo, že jsou výsledkem útoků škodlivého softwaru Zeus keylogger.

V době útoků škodlivého softwaru byl Patco zákazníkem online bankovnictví a držitelem účtu v People's Bank. V období od 7. května do 16. května 2009 provedly neznámé třetí strany několik online převodů v celkové výši 588 851 USD z účtu společnosti Patco. Nakonec byla banka schopna zablokovat 243 406 USD z podvodných převodů.

Patco tvrdil, že jeho ztráty souvisely s nedostatečnou online bezpečností Lidové banky. Soud shledal, že Lidová banka trpěla některými bezpečnostními nedostatky, ale celkově byly její bezpečnostní postupy komerčně přiměřené. Proto shledal, že banka neodpovídá za ztráty vyplývající z podvodných převodů. I když se skutečnosti v tomto případě liší od skutečností v Experi-Metal v. Comerica, může být výzvou sladit kontrast mezi těmito dvěma rozhodnutími.[podle koho? ] V červenci 2012 však toto rozhodnutí zrušil odvolací soud. Strany se později urovnaly mimosoudně, přičemž část z ukradené z Patcova účtu zaplatila Lidová sjednocená banka a úrok 45 000 USD.

„V mezníkovém rozhodnutí rozhodl 1. obvodní odvolací soud ve„ Patco Construction Company, Inc. v. People's United Bank “, č. 11–2031 (1. cir. 3. července 2012), že People's United Bank (d / b / a Ocean Bank) byl povinen uhradit zákazníkovi PATCO Construction Co. přibližně 580 000 $, které byly odcizeny z bankovního účtu PATCO. Tím soud zrušil rozhodnutí amerického okresního soudu pro okres Maine, který vydal souhrnný rozsudek ve prospěch banky. “ [6]

v Village View v. Professional Business Bank[7] podobná žádost byla podána v Vrchní soud v Kalifornii v červnu 2011. Společnost Village View zažalovala za ztráty vzniklé v důsledku neoprávněných a podvodných bankovních převodů provedených z jejího účtu v Professional Business Bank ve dnech 16. – 17. března 2010, celkem 195 874 USD.

Útoky začaly bankovním trojským koněm maskovaným jako přepravní doklad UPS, který byl přijat a otevřen do sítě Village View nic netušícími zaměstnanci. Později bylo zjištěno, že soubor obsahuje malware, který způsobil několik věcí, včetně deaktivace e-mailových oznámení, která banka běžně zasílá pokaždé, když byl proveden převod z účtu Village View.[8] Podvodné převody byly provedeny na mezinárodní účty, včetně bank v Lotyšsku.[9]

Village View Escrow ve svém tvrzení tvrdí, že neoprávněné převody byly výsledkem nedostatečného bezpečnostního systému Professional Business Bank. Village View konkrétně tvrdí, že Professional Business Bank neposkytla postupy „komerčně přiměřeného zabezpečení“ v souladu s kalifornskými právními předpisy[10] a doprovodné selhání v „dobré víře“ přijmout objednávky bankovních převodů.[11]

Trendy phishingu a bankovních podvodů v USA

Podvody bankovním převodem a phishing jsou podtypy bankovní podvody použitý proti Experi-Metal.

Z amerických bankovních institucí v prosinci 2011 byly americké národní banky nejčastěji zaměřeny na phishing na 85%, následovaný regionálními americkými bankami na 9% a americkými družstevními záložnami na 6%.[12] Pokud jde o celkový objem phishingu na celém světě během stejného období, byla 50% terčem Velká Británie, následovaná USA s 28%, Brazílií s 5%, Jižní Afrikou s 4% a Kanadou s 2%.[13]

Malware, jako je Zeus Trojan byl zločinci značně využíván k odcizení osobních bankovních informací, které pak mohou být použity k podvodným převodům z bankovních účtů obětí. V některých případech byli pachatelé útoků chyceni a stíháni, a to jak v USA,[14] stejně jako v jiných zemích.[15]

Výzva stíhat podvod s online bankovnictvím

Zatímco typy aktivit v Experi-Metal v. Comerica může spadat pod Zákon o počítačových podvodech a zneužívání jako trestný čin zůstávají problémy s určováním jurisdikce v online prostředí, identifikací pachatelů a shromažďováním důkazů jako potenciálně významné překážky při jakýchkoli pokusech o prosazování těchto právních předpisů.[16]

Reference

  1. ^ A b C d E F G „Experi-Metal, Inc., v. Comerica Bank (číslo dokladu: 2: 2009cv14890)“. Americký okresní soud ve východní části Michiganu. 13. června 2011.
  2. ^ „JEDNOTNÝ OBCHODNÍ KÓD (VÝJIMKA) Zákon 174 z 1962 s. 440.4702“. Michiganská státní legislativa.
  3. ^ „JEDNOTNÝ OBCHODNÍ KÓD (VÝJIMKA) Zákon 174 z 1962 s. 440.4605 (1) (f)“. Michiganská státní legislativa.
  4. ^ „Comerica se usazuje poté, co aktualizovaná pravidla zabezpečení oslabila svůj případ“. Americký bankéř. 3. srpna 2011. Citováno 25. února 2012.
  5. ^ „Patco Construction Company, Inc., v. People's United Bank d / b / a Ocean Bank, No. 2: 09-cv-503-DBH (D.Me. 27. května 2011)“ (PDF). USA Dist. Ct. Maine a potvrzeno v „Civilní číslo 09-503-P-H (D.Me. 4. srpna 2011) PATCO CONSTRUCTION COMPANY INC v. PEOPLES UNITED BANK“. Justia.com.
  6. ^ „První obvodní odvolací soud drží opatření banky v oblasti bezpečnosti online„ komerčně nepřiměřená “v rozhodovacím bodě - pojištění - Spojené státy“. Mondaq.com. Citováno 3. listopadu 2013.
  7. ^ „Village View, Inc., vs. Professional Business Bank, věc č. YC064405 (Cal Sup Ct) - první pozměněná stížnost žalobce proti Professional Business Bank (27. června 2011)“. 27. listopadu 2006. ismgcorp.com.
  8. ^ „Informační skupina pro bezpečnost informací - ISMG“. ISMGCorp.com. Citováno 14. února 2017.
  9. ^ „Společnost zadlužená z tisíců dolarů ztracených, když Cybercrooks používají hackerskou společnost Trojan - SpywareRemove.com“. SpywareRemove.com. Citováno 14. února 2017.
  10. ^ „Údajné neposkytnutí komerčně přiměřeného zabezpečení“ v souladu s kalifornským obchodním zákoníkem, oddíl 11202 (b) (i) - (ii) a (c).
  11. ^ „Údajné nepřijetí objednávek v dobré víře“ podle kalifornského obchodního zákoníku, sekce 11202.
  12. ^ RSA. „Měsíční zpráva o podvodech RSA - leden 2012 - rok phishingu“ (PDF). RSA.com. str. 3. Archivovány od originál (PDF) 12. května 2012.
  13. ^ RSA, s. 4.
  14. ^ „Nikolay Garifulin přiznává vinu na federálním soudu v Manhattanu k účasti na schématu podvodů s globálními bankami, který použil„ Zeus Trojan “k odcizení milionů dolarů z bankovních účtů USA. FBI.gov. 23. září 2011. Citováno 14. února 2017.
  15. ^ Kovacs, Eduard (5. října 2011). „Bankovní lupiči ZeuS Trojan Bank konečně usvědčeni“. Softpedia.com. Citováno 14. února 2017.
  16. ^ „Proč je tak obtížné prosazovat zákony o počítačové kriminalitě - TechRepublic“. TechRepublic.com. 26. ledna 2011. Citováno 14. února 2017.