Over en ukes lang periode i mai , svindlere gjorde seks overføringer fra bankkontoene til Patco Construction Company, en familieeid utvikler i Sanford, Maine, ifølge en kopi av søksmålet på Washington Posts nettsted.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

For å gjøre saken verre for Patco, banken hans - - Folkets United Bank, eller Ocean Bank of Delaware - tegnet $ 223 237 på selskapets kredittkort for å dekke uttakene. Ocean Bank ønsker nå at Patco skal betale pengene tilbake med interesse, sier søksmålet. Etter at den dårlige overføringen kom til syne, gjenopprettet eller blokkerte Ocean Bank $ 243.406, men Patco er fortsatt på kroken for $ 345444.

The svindlere hadde mye nøkkelinformasjon som trengs for å gjøre overføringene, gjennomført via ACH (Automated Clearing House) -nettverket, som brukes av institusjoner til å håndtere direkte innskudd, sjekker, regningsbetalinger og overføringer mellom bedrifter og enkeltpersoner.

ACH-systemet har vist seg sårbar for svindel for sent, på grunn av sin alder og mangel på kontroller i det underliggende overføringssystemet, har forskere sagt.

Flere Patco-ansatte var autorisert til å bruke kontoen. De logget inn med et firmanavn og passord og også sin egen ID og passord, sa klærne. For overføringer over $ 1000 måtte de ansatte svare på to utfordringsspørsmål. Siden de fleste av deres overføringer oversteg dette beløpet, ble utfordringsspørsmålene ofte brukt.

Tilsynelatende var svindlerne i stand til å samle inn sikkerhetsinformasjonen. De kunne ha gjort det ved å infisere datamaskiner som brukes til å utføre overføringer med spionprogrammer, ofte installert ved hjelp av sosialteknikkteknikker eller ved å utnytte sårbarheter i utdatert programvare.

Patco hevder at Ocean Bank ikke tilbyr tofaktorautentisering, noe som Patco sa også at overføringene ble startet fra IP-adresser (Internet Protocol) som aldri hadde blitt brukt av Patco, overføringene overgikk langt over hva som var engangstiltak. Selskapet utførte normalt og var på andre dager enn fredag ​​da selskapet betalte sine ansatte ved direkte innskudd.

"Ingen av disse transaksjonene utløste noen mistenkelige aktivitetsvarsler fra Ocean Bank," påstår saken.

En av Patcos eiere, Mark Patterson, mottok en varsel den 13. mai at en av ACH-overføringene ble avvist på grunn av et ugyldig kontonummer som ble levert av svindlere.

Patco varslet banken neste morgen, men banken startet allerede dagens ACH-overføringer og $ 111,963 drev bort. Noen av det beløpet ble gjenvunnet.