Jeden z największych i prestiżowych banków w USA – JP Morgan Chase Bank – stanął w obliczu pozwu ze strony tajskiej spółki EMTC, należącej do producenta okularów Ray Ban – EssilorLuxottica. Chodzi o 272 mln dol., które za sprawa cyberprzestępców zniknęły z nowojorskiego konta firmy.
Cała sprawa miała miejsce jeszcze w 2019 r. kiedy to cyberoszuści dokonali 243 nieautoryzowanych płatności w sumie wyciągając z konta EMTC aż 272, 151 mln dolarów. Pieniądze zostały zdeponowane na prywatnych kontach słupów oraz firm-wydmuszek na całym świecie, potem zniknęły. O oszustwo podejrzewano „aktorów państwowych”, czyli grupę hackerską pracującą dla rządu Korei Północnej lub Chin.
Według pozwu Essilor, bank JP Morgan Chase od połowy września 2019 r. do połowy grudnia 2019 r. wypłacał pieniądze na podstawie spływających zleceń, ale w ogóle nie kontaktował się z EMTC lub Essilor. „Dzienne przelewy z konta w Nowym Jorku miały być ograniczone do 10 mln dol., ale czasami przekraczały one tę kwotę o ponad 20 mln dol.” – napisano w pozwie.
JP Morgan w odpowiedzi na pozew stwierdził, że Essilor nie może wnieść przeciwko niemu roszczenia zgodnie z prawem Nowego Jorku „ponieważ nie był wystawcą zleceń płatniczych, a zatem nie może uzyskać zwrotu pieniędzy”, wystawcą był bowiem EMTC. I choć zlecenia były oszukańcze to taki wniosek nie spełniałby warunków formalnych. Bank stwierdził również, że producent złożył go w kwietniu 2022 r., ponad dwa lata po ostatnim oszukańczym przelewie bankowym z grudnia 2019 r., co według umowy konta było już zbyt późno. Stwierdzono także, że „EMTC nie wykryło oszustwa w ciągu czterech miesięcy, w którym zostało popełnione – nie rozliczyło się z ponad ćwierć miliarda dolarów”.
W pozwie zauważono, że Essilor byłby w stanie odzyskać zagarnięte środki z wyjątkiem 100 mln dol., które zostały skradzione w ramach „złożonego oszustwa zorganizowanego przez międzynarodowych cyberprzestępców” i szybko zniknęły.
Co ciekawe, zaledwie kilka miesięcy po ostatnim oszukańczym przelewie w grudniu 2019 r., Essilor podał, że padł ofiarą cyberataku na serwery i komputery swojej grupy. Stwierdził jednak, że wyizolował zainfekowane serwery i zainstalował poprawki oprogramowania „przy wsparciu wiodących zewnętrznych firm bezpieczeństwa”. Rzecznika firmy powiedziała wtedy, iż był to nowy typ malware, a „Essilor podjął natychmiastowe działania, aby zapobiec rozprzestrzenianiu się złośliwego oprogramowania”. Nie ujawniono jednak o jaki rodzaj malware chodziło i czy istniał związek między tym atakiem, a kradzieżą środków z konta.
I chociaż sędzia federalny z Nowego Jorku ze względów formalnych nie wytoczy JP Morgan Chase sprawy o zaniedbania i ignorowanie „czerwonych flag” przy obsłudze konta spółki zależnej Essilor Manufacturing – EMTC. To jednak może nie być koniec sprawy, bo sędzia Lewis Liman stwierdził jednocześnie, że EMTC wciąż może wystąpić z roszczeniem na mocy prawa gospodarczego stanu Nowy Jork, które wymaga od banków zwrotu wartości nieautoryzowanych zleceń płatniczych od klienta. Konieczne jest jednak, jak zauważył sędzia Liman, przeredagowanie skargi, ponieważ nie stwierdzono przestępstwa federalnego.
