Experim-Metal c. Comerica – Wikipedia wiki

Posted on by
before-content-x4

Experi-Metal c. Comerica Bank
Rechercher Cour de district des États-Unis pour le district oriental du Michigan
Nom du cas complet Experim-Metal, Inc., c. Comerica Bank
Décidé 13 juin 2011
Citation (s) Numéro de dossier: 2: 2009cv14890
La “bonne foi” en acceptant les commandes de transferts de banque en ligne exige qu’une banque réponde aux normes commerciales raisonnables de négociation équitable. Le non-respect de ces normes peut rendre les transactions nulles.
Juge (s) assis Elle. Patrick J. Duggan
Attaques bancaires en ligne, phishing et fraude bancaire Internet, fraude par transfert de fil, Zeus Trojan

Experim-Metal, Inc., c. Comerica Bank (Numéro de dossier: 2: 2009CV14890) est une décision du tribunal de district des États-Unis pour le district oriental du Michigan dans le cas d’une attaque de phishing qui a entraîné des transferts de câbles non autorisés de 1,9 million de dollars américains par le biais de comptes bancaires en ligne de l’expérience. Le tribunal a jugé Comerica responsable des pertes de 560 000 $ US qui ne pouvaient pas être récupérées de l’attaque de phishing, au motif que la banque n’avait pas agi de bonne foi lorsqu’elle n’a pas reconnu les transferts comme frauduleux.

after-content-x4

Arrière-plan [ modifier ]]

Experim-Metal, une entreprise de Macomb, dans le Michigan, a tenu des comptes avec Comerica, dont le siège est à Dallas, au Texas. L’expérience s’était inscrite à un service de transfert de fil Netvision lui permettant d’envoyer et de recevoir des paiements et des transferts de fonds entrants via Internet. [d’abord]

Une attaque par phishing [ modifier ]]

Vers 7 h 35, le 22 janvier 2009, un employé de l’expérience a ouvert un e-mail de phishing contenant un lien vers une page Web censée être un “formulaire client de comerica connect”. Suivant le lien de l’e-mail, l’employé a ensuite procédé à la fourniture de ses informations d’identification de jeton de sécurité, de webID et de connexion à un site bidon. En conséquence, les tiers frauduleux ont eu accès aux comptes de l’expérience détenus auprès de Comerica. [d’abord]

Dans une période de six heures et demie entre 7h30 et 14h02, 93 transferts frauduleux ont été effectués à partir de comptes de l’expérience totalisant 1 901 269,00 $ US. La majorité des transferts ont été dirigés vers des comptes bancaires en Russie, en Estonie et en Chine. [d’abord]

Entre 7 h 40 et 13 h 59, des transferts totalisant 5,6 millions de dollars ont été exécutés parmi les comptes en utilisant les informations obtenues à partir de l’attaque de phishing. Dans un compte, les transferts ont entraîné un découvert de 5 millions de dollars américains. [d’abord]

À 11 h 30, Comerica a été alerté de la fraude potentielle par un appel téléphonique d’un employé de JP Morgan Chase qui avait remarqué des transferts de fil suspects envoyés d’un compte expérimental à une banque à Moscou, en Russie. Entre 11h47 et 11h59, Comerica a alerté l’expérience des transferts et a confirmé que le titulaire du compte légitime n’avait effectué aucune transaction au cours de la journée. À 12h25, Comerica a mis une emprise sur les transactions bancaires en ligne de l’expérience et a commencé à “tuer” sa session utilisateur pour tenter de retirer avec force les personnes qui font les transferts du service en ligne Comerica. [d’abord]

after-content-x4

Comerica a réussi à récupérer une partie des transferts. Au total, 561 399 $ US ont été perdus dans les transferts frauduleux résultant du programme de phishing. [d’abord]

Opinion sur le tribunal de district américain du Michigan [ modifier ]]

Le tribunal a examiné deux questions principales dans sa décision. Le premier problème était de savoir si l’employé de l’expérience dont les informations confidentielles ont été utilisées pour lancer les transferts frauduleux ont été autorisés à initier des transferts au nom de la société, et à son tour, si Comerica a conformé à ses propres procédures de sécurité dans l’acceptation des ordres. Le deuxième problème était de savoir si Comerica a agi dans la “bonne foi” en acceptant les ordres sur le compte de l’expérience. [d’abord]

Informations utilisateur initiant des transferts frauduleux [ modifier ]]

Il y avait une question de savoir si l’employé de l’expérience qui a été victime de l’incident de phishing était autorisé à effectuer des virements en fil pour le compte de l’entreprise. Le problème a été soulevé dans le contexte de la conformité de Comerica à ses procédures de sécurité lorsqu’elle a accepté les transferts de fil qui ont été effectués à l’aide des informations sur l’utilisateur de son compte le 22 janvier 2009.

Après avoir examiné plusieurs facteurs contextuels, la Cour a conclu que l’employé qui avait fourni des informations sur les utilisateurs de son compte était autorisé à initier des transferts avec Comerica au nom de l’expérience. En conséquence, Comerica s’est avéré être conforme à ses propres protocoles de sécurité lorsqu’il a accepté les ordres.

Bonne foi [ modifier ]]

Un deuxième problème dans l’affaire concernait la question de la «bonne foi» de la part de Comerica dans l’acceptation des transferts de fil initiés par les tiers frauduleux.

En vertu de la loi du Michigan, les commandes de virement bancaire sont efficaces en tant que commandes du client, même si elles ne sont pas réellement commandées par le client, à condition que certains critères soient remplis. [2] La question dans ce cas était de savoir si les ordonnances avaient été acceptées de bonne foi et conformes aux procédures de sécurité, aux accords écrits ou aux instructions du client. Si les commandes rendues à Comerica sur le compte de l’expérience n’avaient pas été reçues de “bonne foi”, ils ne seraient pas efficaces.

Bien que le tribunal ait conclu que les procédures de sécurité de Comerica étaient commercialement raisonnables, elle a constaté que la banque n’avait pas prouvé qu’elle avait accepté de bonne foi des ordonnances de transferts frauduleux. En vertu du Michigan, la bonne foi exige “l’honnêteté en fait et le respect de normes commerciales raisonnables pour une négociation équitable”. [3]

Parce qu’il n’y avait aucune suggestion que les employés de Comerica ont agi malhonnêtement en acceptant les ordonnances frauduleuses, le tribunal a déménagé à l’élément du test de bonne foi traitant des normes commerciales raisonnables pour une négociation équitable. Ici, le tribunal a constaté que Comerica n’avait pas répondu au fardeau de prouver que ses employés répondaient aux normes commerciales raisonnables de négociation équitable dans le contexte des transferts frauduleux, et en particulier en ce qui concerne les découvert inhabituels des comptes expérimentaux. Sur ce dernier point, le tribunal a fait référence spécifique aux découvert de 5 millions de dollars américains sur un compte expérimental qui avait généralement un solde de 0 $.

Résultat [ modifier ]]

Principalement sur la base que les ordonnances de transfert de fil en ligne de l’expérience n’ont pas été reçues de bonne foi, le tribunal a ordonné à Comerica de compenser l’expérience pour ses pertes. Comerica aurait conclu un règlement en dehors de la cour [4] avec l’expérience peu après la décision du tribunal.

Importance [ modifier ]]

Expero-Metal c. Comerica représente une décision relativement précoce dans un domaine émergent de la jurisprudence relative à la fraude bancaire en ligne aux États-Unis.

Cas de fraude bancaire en ligne américains similaires [ modifier ]]

Dans Patco Construction c. People’s United Bank [5] Un tribunal de district américain du Maine a jugé que la banque défenderesse n’était pas responsable de 588 000 $ US en transferts frauduleux qui seraient résultant des attaques malveillantes de Zeus Keylogger.

Patco était un client bancaire en ligne et un détenteur de compte chez People’s Bank au moment des attaques de logiciels malveillants. Entre le 7 et le 16 mai 2009, des tiers inconnus ont effectué plusieurs transferts en ligne totalisant 588 851 $ US sur le compte de Patco. En fin de compte, la banque a pu bloquer 243 406 $ US des transferts frauduleux.

Patco a allégué que ses pertes étaient liées à la sécurité en ligne déficiente en ligne de la Banque populaire. Le tribunal a conclu que la banque des personnes souffrait de certaines faiblesses de sécurité, mais que dans l’ensemble, ses procédures de sécurité étaient commercialement raisonnables. En conséquence, il a constaté que la banque n’était pas responsable des pertes résultant des transferts frauduleux. Bien que les faits de cette affaire diffèrent de ceux Experi-Metal c. Comerica, Il peut être difficile de concilier le contraste entre les deux décisions. [ Selon qui? ]] Cependant, en juillet 2012, cette décision a été annulée par une cour d’appel. Les parties se sont ensuite installées à l’idée, avec la banque unie des gens, payant le reste de ce qui a été volé sur le compte de Patco, ainsi que 45 000 $ en intérêts.

“Dans une décision historique, la 1ère Circuit Court of Appeals tenue dans” Patco Construction Company, Inc. c. People’s United Bank “, n ° 11-2031 (1er Cir. 3 juillet 2012) / une banque océanique) devait rembourser son client, Patco Construction Co. a accordé un jugement sommaire en faveur de la banque. ” [6]

Dans Village View c. Banque d’affaires professionnelle [7] Une réclamation similaire a été déposée devant la Cour supérieure de Californie en juin 2011. Village View a poursuivi les pertes subies à la suite de transferts filaires non autorisés et frauduleux effectués à partir de son compte auprès de la banque d’entreprises professionnelles du 16 au 17 mars 2010, totalisant 195 874 $ US.

Les attaques ont commencé avec un Troie bancaire déguisé en un reçu d’expédition UPS, qui a été accepté et ouvert sur le réseau Village View par des employés sans méfiance. Le fichier a ensuite connu des logiciels malveillants qui ont fait plusieurs choses, y compris la désactivation des notifications par e-mail normalement envoyées par la banque chaque fois qu’un transfert était effectué à partir du compte de Village View. [8] Les transferts frauduleux ont été effectués sur des comptes internationaux, notamment des banques en Lettonie. [9]

Village View Sprow allègue dans son affirmation que les transferts non autorisés étaient le résultat du système de sécurité inadéquat de la banque professionnelle. Plus précisément, Village View allègue un échec de la part de la Banque d’entreprise professionnelle à fournir des procédures de «sécurité commercialement raisonnable» conformément à la loi californienne [dix] et un incapacité à accepter les ordres de transferts de fil dans la «bonne foi». [11]

Tendances de phishing et de fraude bancaire aux États-Unis [ modifier ]]

La fraude à transfert de câbles et le phishing sont les sous-types de fraude bancaire utilisés contre l’expérience.

Parmi les institutions bancaires américaines, décembre 2011 a vu les banques nationales américaines ciblées le plus fréquemment par le phishing à 85%, suivie des banques régionales américaines à 9% et des coopératives de crédit américaines à 6%. [douzième] En termes de volume global de phishing dans le monde au cours de la même période, le Royaume-Uni était une cible de 50% du temps, suivi des États-Unis à 28%, du Brésil à 5%, de l’Afrique du Sud à 4% et du Canada à 2%. [13]

Des logiciels malveillants tels que le Trojan Zeus ont été largement utilisés par des criminels pour voler des informations bancaires personnelles qui peuvent ensuite être utilisées pour faire des transferts frauduleux des comptes bancaires des victimes. Dans certains cas, les auteurs des attaques ont été capturés et poursuivis, tous deux aux États-Unis, [14] ainsi que dans d’autres pays. [15]

Défi de la poursuite de la fraude bancaire en ligne [ modifier ]]

Tandis que les types d’activités dans Expero-Metal c. Comerica Pourrait relever de la fraude et des abus informatiques comme une infraction, les défis de la détermination de la compétence dans un environnement en ligne, de l’identification des auteurs et de la collecte de preuves restent comme des obstacles potentiellement importants dans toutes les tentatives pour faire respecter une telle législation. [16]

Les références [ modifier ]]

  1. ^ un b c d C’est F g “Experi-Metal, Inc., c. Comerica Bank (numéro de dossier: 2: 2009cv14890)” . Court de district américain, district oriental du Michigan. 13 juin 2011.
  2. ^ “Uniform Commercial Code (Extrat) Act 174 of 1962 s. 440.4702” . Assemblée législative de l’État du Michigan.
  3. ^ “Uniform Commercial Code (Extrat) Act 174 de 1962 s. 440.4605 (1) (f)” . Assemblée législative de l’État du Michigan.
  4. ^ “Comerica s’installe après que les règles de sécurité mises à jour affaiblissent son cas” . Banquier américain . 3 août 2011. Récupéré le 25 février 2012.
  5. ^ “Patco Construction Company, Inc., c. People’s United Bank D / B / A Ocean Bank, n ° 2: 09-CV-503-DBH (D.Me. 27 mai 2011)” (PDF). U.S. Dist. Ct. Maine, et a confirmé “Civil No. 09-503-P-H (D.Me. 4 août 2011) Patco Construction Company Inc c. Peoples United Bank” . Justia.com.
  6. ^ “First Circuit Court of Appeals organise des mesures de sécurité en ligne de la Banque” commercialement déraisonnables “dans la décision historique – assurance – États-Unis” . Mondaq.com . Récupéré 3 novembre, deux mille treize .
  7. ^ “Village View, Inc., contre Bank Business Professional, affaire n ° YC064405 (Cal Sup CT) – Première plainte modifiée du demandeur contre la Banque professionnelle (27 juin 2011)” . 27 novembre 2006. ismgcorp.com.
  8. ^ “Group de médias de sécurité de l’information – ISMG” . Ismgcorp.com . Récupéré 14 Février, 2017 .
  9. ^ “La société endettée par des milliers de dollars perdus alors que les cybercrooks utilisent Trojan pour pirater l’entreprise – spywareremove.com” . Spywareremove.com . Récupéré 14 Février, 2017 .
  10. ^ “L’absence présumée de fournir une sécurité commercialement raisonnable” conformément à l’article 11202 (b) (i) – (ii) du California Commercial Code.
  11. ^ “L’absence présumée d’accepter les ordres de bonne foi” en vertu de l’article 11202 du Code commercial de Californie.
  12. ^ RSA. “RSA Rapport mensuel en ligne de fraude – janvier 2012 – L’année en phishing” (PDF) . Rsa.com. p. 3. Archivé de l’original (PDF) le 12 mai 2012.
  13. ^ RSA, p. 4.
  14. ^ “Nikolay Garsifultin plaide coupable devant le tribunal fédéral de Manhattan pour participer au programme mondial de la fraude bancaire qui a utilisé” Zeus Trojan “pour voler des millions de dollars des comptes bancaires américains” américains ” . Fbi.gov . 23 septembre 2011 . Récupéré 14 Février, 2017 .
  15. ^ Kovacs, Eduard (5 octobre 2011). “Les voleurs de banque Zeus Trojan ont finalement été condamnés” . Softpedia.com . Récupéré 14 Février, 2017 .
  16. ^ “Ce qui rend les lois sur la cybercriminalité si difficiles à appliquer – TechRepublic” . TechRepublic.com . 26 janvier 2011 . Récupéré 14 Février, 2017 .

after-content-x4