跨國黑客“網(wǎng)絡(luò)盜竊”

李忠東

5月15日早晨，日本100多名竊賊僅花去兩個多小時，便使用1600多張偽造信用卡從自動取款機（ATM）取出14億日元（大約合8330萬元人民幣）現(xiàn)金。

全球百家銀行失竊10億美元

據(jù)日本警方介紹，犯罪嫌疑人來自跨國詐騙組織。警察在調(diào)取事發(fā)地點監(jiān)控視頻進行分析發(fā)現(xiàn)，取第一筆款的時間為凌晨5時左右，8時以前取出最后一筆款項。竊賊在這期間利用偽造的1600多張信用卡，從分布在首都東京和16個縣的大約1400家便利店ATM上取現(xiàn)14000次，每次取現(xiàn)金額為取款上限10萬日元（大約合5950元人民幣）。

事發(fā)當(dāng)天是星期天，銀行不營業(yè)。罪犯選定這個時間段作案，以避免銀行及時發(fā)現(xiàn)，為逃離日本爭得更多時間。一些媒體猜測，由于事發(fā)周末并且已經(jīng)過去多日，竊賊可能已經(jīng)離開了日本。

犯罪分子使用的偽造信用卡信息來自南非標(biāo)準(zhǔn)銀行，日本警方正通過國際刑事警察組織（ICPO）與南非方面展開合作，包括調(diào)查該銀行客戶的信用卡信息如何泄露?！斑@場有組織的詐騙案精心謀劃，我們也是其中的受害者?！痹撱y行發(fā)表聲明說，“調(diào)查目前正進入敏感階段，我們將在合適時間公布更多相關(guān)信息?！?/p>

ICPO指出，跨國詐騙集團利用偽造信用卡在ATM大量取現(xiàn)的案件近年來時有發(fā)生。在這類案件中，犯罪嫌疑人從利用計算機病毒感染金融機構(gòu)的計算機系統(tǒng)入手，接著偽造戶頭從ATM中提取現(xiàn)金。早在去年4月，ICPO就向日本發(fā)出警告，要求警惕類似事件。

知名的反病毒機構(gòu)卡巴斯基實驗室（Kaspersky Lab）去年2月16日發(fā)表的一份報告說，一個跨國黑客團體專門針對全球約30個國家和地區(qū)的銀行和金融企業(yè)發(fā)起網(wǎng)絡(luò)攻擊，并盜取銀行賬戶資金。美國、歐盟、日本等國家和地區(qū)深受其害，迄今為止已損失高達10億美元（大約合65.62億人民幣）。

總部設(shè)在莫斯科的Kaspersky Lab成立于1997年，在過去19年與計算機病毒的不懈斗爭中率先開發(fā)出了大量的反病毒軟件標(biāo)準(zhǔn)，積累了豐富的業(yè)內(nèi)領(lǐng)先經(jīng)驗和知識，成為了頂尖的反病毒軟件研發(fā)提供商。

ATM機緣何無故吐錢

最早發(fā)現(xiàn)黑客網(wǎng)絡(luò)“搶銀行”是在2013年下半年，烏克蘭出現(xiàn)ATM無故吐錢事件。當(dāng)時的監(jiān)控錄像顯示，即使沒有插入銀行卡或觸碰按鈕，基輔一臺ATM機會時不時自動吐出現(xiàn)金，有人“準(zhǔn)時”待在機器前將錢取走。

接到協(xié)查請求后，Kaspersky Lab派員深入調(diào)查，發(fā)現(xiàn)這只是一起“網(wǎng)絡(luò)盜竊”驚天大案的一部分。這個犯罪團體由來自亞洲和歐洲多個國家的黑客組成，從2013年年底起開始作案，利用一種名為Carbanak的病毒入侵大約30個國家的100多家金融企業(yè)。這款病毒軟件相當(dāng)高級，在獲取盜取資金相關(guān)的賬號信息同時，能入侵銀行系統(tǒng)管理員賬號，讓犯罪分子獲得權(quán)限，通過內(nèi)部視頻監(jiān)控鏡頭觀察員工的一舉一動。

Kaspersky Lab的專家證實，他們正在與當(dāng)事國執(zhí)法部門展開調(diào)查合作，但沒有透露受害金融企業(yè)的具體名稱。在其中一起案件中，一家沒有公開名稱的銀行被犯罪分子以“ATM機吐錢”方式盜走了730萬美元（大約合4790萬人民幣），另一家金融企業(yè)因網(wǎng)上交易平臺的漏洞而損失1000萬美元（大約合6561.5萬人民幣）。犯罪分子的“網(wǎng)絡(luò)盜竊”十分猖獗，目前還沒有住手停止的跡象。專家們警告說，可能還會有銀行因為系統(tǒng)遭病毒軟件入侵，最終被黑客搶劫。

目前的現(xiàn)狀很令人擔(dān)憂。由于很多ATM機本身的關(guān)鍵部分缺乏物理安全防護，或者大量使用了過時的和不安全的軟件，或者網(wǎng)絡(luò)設(shè)置中存在問題，因此網(wǎng)絡(luò)罪犯在很多情況下并不需要使用惡意軟件感染ATM機，也不必入侵銀行的網(wǎng)絡(luò)就可以成功進行攻擊。

許多銀行ATM機的建造和安裝并不合理，可以讓第三方訪問到ATM機內(nèi)部的計算機，或者利用網(wǎng)線將設(shè)備連接到互聯(lián)網(wǎng)。網(wǎng)絡(luò)罪犯獲取到部分ATM機的物理訪問權(quán)限之后，就可能在ATM機的內(nèi)部安裝特殊的微型計算機（又被稱為黑盒子），讓攻擊者可以遠程訪問ATM?；蛘邔TM機連接到假冒的銀行處理中心（一種處理支付數(shù)據(jù)的軟件），盡管它事實上并不屬于銀行，然而功能和銀行使用的軟件一樣。一旦ATM連接到假冒的處理中心，攻擊者就可以發(fā)送任何指令，ATM機都會執(zhí)行。

這是全球銀行業(yè)涉案金額最高、波及范圍最廣的“網(wǎng)絡(luò)盜竊行為”之一，案件的嚴重性在于黑客襲擊的對象是銀行本身而并非作為終端用戶的銀行客戶，目的是沖著錢來而不是獲取資料或情報。罪犯進行網(wǎng)絡(luò)盜竊的手段非常熟練和職業(yè)化，銀行無論使用的是什么防護軟件對他們來說都沒有差別。Kaspersky Lab提醒銀行業(yè)了解事態(tài)的嚴重性，進一步強化信息安全措施，升級防護軟件，加大病毒掃描的頻率，盡最大可能防范類似盜竊行為。

孟加拉國央行 損失8100萬美元

孟加拉國中央銀行在美國紐約聯(lián)邦儲備銀行開設(shè)的賬戶今年2月遭黑客攻擊，失竊8100萬美元（大約合5.31億人民幣）。失竊資金經(jīng)菲律賓黎剎商業(yè)銀行幾次分批中轉(zhuǎn)后，消失得無影無蹤。其中大約2900萬美元（大約合1.9億人民幣）被轉(zhuǎn)入馬尼拉布隆貝里集團所屬的菲索萊雷賭場的銀行賬戶，2100萬美元（大約合1.38億人民幣）轉(zhuǎn)入菲律賓北部卡加延省一家賭場的運營商賬戶，其余3000多萬美元（大約合1.97億人民幣）分數(shù)天轉(zhuǎn)入一名賭團中介商的賬戶，并以現(xiàn)金形式取出。在菲律賓，賭場是反洗錢法律的“盲區(qū)”，賭博業(yè)成為反洗錢系統(tǒng)的“薄弱環(huán)節(jié)”，最終可能難以鎖定犯罪嫌疑人，無法追回損失。

2月5日，孟加拉國中央銀行員工發(fā)現(xiàn)一臺用于自動打印所有環(huán)球同業(yè)銀行金融電訊協(xié)會（SWIFT）電匯記錄的打印機發(fā)生“故障”，而且前一天的交易記錄也沒有打印，于是嘗試手動打印，卻失敗了。一名官員要求在下班前修好打印機，可當(dāng)天是周五（孟加拉國雙休日的第一天），只好決定等到第二天再修。這種故障以前發(fā)生過，所以當(dāng)時以為只是跟平時一樣的常見故障。

直到2月6日，技術(shù)人員才修好那臺打印機，而紐約聯(lián)邦儲備銀行2月5日已就4筆可疑轉(zhuǎn)賬來函詢問，卻無法及時打印。當(dāng)銀行員工試圖操作那臺用于發(fā)送SWIFT信息的電腦時，電腦屏幕卻顯示，用于打印或輸出的NROFF.EXE文件“消失或被更改”。

孟加拉國央行懷疑，黑客事先給央行的一臺打印機植入木馬病毒，造成看似平常的“故障”，導(dǎo)致央行沒能及時察覺這起震驚全球金融界的盜竊案。孟加拉國網(wǎng)絡(luò)安全專家已就此案展開調(diào)查，黑客通過木馬程序遠程操縱央行的一臺打印機，以掩蓋行竊證據(jù)。不過，調(diào)查人員尚未發(fā)現(xiàn)顯示央行有“內(nèi)鬼”的證據(jù)。

SWIFT是一個國際銀行間非盈利的國際合作組織，為國際金融業(yè)務(wù)提供快捷、準(zhǔn)確、優(yōu)良的服務(wù)，運營世界級的金融電文網(wǎng)絡(luò)，銀行和其他金融機構(gòu)通過它與同業(yè)交換電文，從而完成金融交易，還向金融機構(gòu)銷售軟件和服務(wù)。

意識到SWIFT的跨行聯(lián)絡(luò)系統(tǒng)不正常后，孟加拉國央行2月6日下午1時30分向紐約聯(lián)邦儲備銀行發(fā)去一封電子郵件，要求中止所有支付進程。然而當(dāng)天是周六，那邊休息，沒能聯(lián)系上。專家分析，不但用于SWIFT國際電匯的電腦和打印機被黑客操縱，而且還通過木馬病毒竊取了央行用于SWIFT跨行聯(lián)絡(luò)系統(tǒng)，致使執(zhí)法人員既看不到往外電匯的申請，也看不到證明匯款成功的收據(jù)。而這臺電腦本應(yīng)保存這些記錄，以便銀行員工隨時查看。

2月8日下午SWIFT的跨行聯(lián)絡(luò)系統(tǒng)恢復(fù)正常工作后，孟加拉國央行將多條消息發(fā)送給黎剎商業(yè)銀行，要求中止轉(zhuǎn)賬并退還失竊資金。可是第二天一早，相關(guān)賬戶在73分鐘內(nèi)被人5次提取。當(dāng)天晚些時候黎剎商業(yè)銀行回復(fù)孟加拉國央行時，8100萬美元只剩下6.8萬多美元（大約合44.62萬人民幣）。

調(diào)查人員估計，黑客是在2月4日至5日對孟加拉國央行在紐約聯(lián)邦儲備銀行的賬戶發(fā)動攻擊并進行非法轉(zhuǎn)賬的，他們利用兩地各自的休息時間打了個時間差。黑客原計劃竊取將近10億美元（大約合65.62億人民幣），由于在進行第五筆轉(zhuǎn)賬操作時拼錯了收款方名稱中的一個單詞，引發(fā)相關(guān)中轉(zhuǎn)銀行警覺，交易被中止，最后得手8100萬美元。

這起黑客竊案令銀行業(yè)界震驚不已，拉響了孟加拉國270多億美元（大約合1771多億人民幣）外匯儲備的安全警報。孟加拉國央行行長阿蒂·拉赫曼15日引咎辭職，兩名副行長同一天被解職，主管銀行業(yè)的高級官員M·阿斯拉姆·阿拉姆被解職。

編輯：鄭賓 393758162@qq.com