论文部分内容阅读
“CEO邮件骗局”愈演愈烈
据英国《金融时报》报道,美国联邦调查局(FBI)发现,近年来“商业电子邮件犯罪”正在以惊人的速度增加。在两年多的时间里,一种伪造首席执行官(CEO)电子邮箱账户的骗局在全世界蔓延。从2013年10月到2015年8月,全球因这种骗术蒙受的损失约为12亿美元,而从2015年9月至2016年2月又增加了8亿美元。
美国斯库勒公司(Scoular)是一家有124年历史的粮食贸易公司,拥有59亿美元资产。2014年6月,公司财务总监基思·麦克默特里收到CEO查克·埃尔沙发来的绝密电子邮件,要求他给一个离岸银行账户汇款1720万美元。埃尔沙告诉麦克默特里,公司正在为收购一家中国企业进行谈判,嘱咐他联系毕马威会计师事务所的律师罗德尼·劳伦斯,由对方提供汇款账户。“我们需要向中国展示足够的实力。”埃尔沙在电子邮件中写道,“基思,我不会忘记你在此次交易中的专业表现,我将很快向你表达谢意。”3个交易日后,麦克默特里将1720万美元转到了上海浦东发展银行户名为“大地公司”的账户中。然而让他绝对没有想到的是,这封电子邮件是伪造的。罪犯冒充埃尔沙创建了电子邮件账户,并以毕马威合伙人的名义虚构了邮箱和电话号码。劳伦斯律师声称从未听说过“大地公司”,和这家企业根本没有联系。
麦克默特里告诉FBI,自己当时之所以没有起疑心,一是斯库勒公司的确正在考虑向中国市场发展,二是年度审计工作也一直由毕马威会计师事务所进行,三是假的“埃尔沙”特意在邮件中嘱咐任务非常敏感,需要严格保密,称“为了避免违反美国证券交易监督委员会的规定,请只和我通过邮件交流”。
FBI已经查清,假 “埃尔沙”名下的电子邮箱服务器在德国,假“劳伦斯”的邮箱服务器位于莫斯科,骗子提供的电话号码最后查到是一个在以色列注册的网络电话(Skype)账号。斯库勒公司的律师告诉FBI,最终拿到这笔钱的“大地公司”是一家制造军靴的企业,该公司称这笔银行电汇是靴子销售合同的一部分,但斯库勒公司说并没有购买靴子。就在FBI设法进行进一步调查时,这个账户已被注销,资金也被转走。FBI称,斯库勒公司只是“CEO邮件骗局”中数千家受害公司之一。
美国AF Global公司是一家涉足航空航天、石油和天然气行业的大企业。2014年5月,财务主管格伦·乌姆收到一封邮件,邮件以集团CEO杰安·斯塔尔卡普的口吻命令道:“我指定你管理T521文件,它需要严格保密,必须优先于其他任务的财务操作……”乌姆遵照斯塔尔卡普不和任何人通气的嘱咐,直接将48万美元汇到一个账户。6天后一个自称为夏皮罗的人和乌姆取得联系,在确认款项收到后要求再次汇款1800万美元。这时乌姆产生了怀疑,表示在不提醒高管的情况下不能擅自转走这么多钱。然而为时晚矣,骗子的银行账户早已注销。
2015年元月,总部位于旧金山的线上支付公司Xoom Corp称,一份监管文件显示财务部门的一名员工被骗,将公司的3080万美元转到骗子提供的海外账户中。
“Xoom Corp已经建立起自己的先进科技系统来检测每一笔交易,内容包括测试合规性、反洗钱、可接受使用、反欺诈和风险下秒筹资。”Xoom的CEO约翰·孔策不无担忧地说,“虽然我们一直在识别、防止欺诈转账方面富于经验,并且将其列为公司的核心业务,但Xoom公司已经成为国际诈骗组织的一个目标,而这对于要识破防不胜防的诈骗来说,已经足够复杂了。”
2015年6月,美国无线网络产品制造商优博通(UBNT)的财务部门被冒牌高管欺骗,把4670万美元汇到海外账户中。
FBI互联网犯罪投诉中心公布的数据表明,遭遇“CEO邮件骗局”的案件越来越多,全球受害企业超过1.2万家,平均每家损失12万美元,损失最严重的企业甚至向境外的汇款高达9000万美元。至于那些给骗子转了5万美元的小公司,结局就更惨了,可能再也发不出工资,只能关门大吉。
世界顶级会计师事务所之一的普华永道会计师事务所2014年的信息安全漏洞报告指出,在互联网上遭遇外部攻击的大型企业和小企业分别达到57%和16%,受到冲击和威胁的企业越来越多。犯罪分子通常操纵受害者将钱转到他们暗中控制的在亚洲或非洲的银行账户上,当企业意识到被骗时,巨款早已无法追回。迄今为止,FBI已针对涉案资金追踪至108个国家。
“此事已完全失控了,骗子越来越嚣张。罪犯通过引入律师事务所或法律顾问等第三方实施欺诈,让受害者面对的情况变得更复杂、更隐蔽。”FBI金融网络犯罪工作组特工米切尔·汤普森强调道,“商业电子邮件欺诈是个很严重的问题,因为企业高管们非常依赖电子邮件,而且他们没有拿起电话确认交易或进行仔细检查的习惯。”
在 “CEO邮件骗局”中,犯罪分子行骗时会采取各种策略:或者通过钓鱼电子邮件账户入侵内部网络,以便获取高管的邮箱信息;或者为了迷惑受害者,利用与公司官方电子邮件地址只相差一个字母的冒牌邮箱,粗心的受害者往往被设计巧妙的虚假地址所欺骗;或者使用多种社交媒体,用发送垃圾邮件的方法来确定CEO是否在办公室,或在Facebook上观察CEO的出行时间,以此确定最佳作案时机。犯罪行骗的时间也很有讲究,冒充者们大都选择上午9点到10点向财务人员发出指示。这个时间段最为忙碌,财务人员常常需要处理多封邮件和若干个电话,紧迫感造成的巨大压力使得财务人员没时间质疑来自“高层”的命令,通常是不假思索地迅速执行。这是此类网络欺诈最喜欢钻的空子。
“通过互联网诈骗钱财的手法并不新鲜,有的犯罪集团曾经利用交友网站,从赈灾筹款或恐袭灾难捐款活动中获利。还记得10年前,告知人们中奖的诈骗邮件铺天盖地。”FBI反洗钱部门主管詹姆斯·巴纳克尔表示,“犯罪分子没有国界,这是个全球性问题。我们正在动用我们的刑事调查资源、网络资源和在海外的法律专员,努力应对网络犯罪问题。过去一年中,FBI与情报分析人员同全球执法机构建立了合作关系,但是没有足够的警力在互联网上监控犯罪分子。” FBI从不同的冒充CEO诈骗案中发现,一些诈骗手段看起来十分相似,不过目前仍不清楚是否存在一个领头的全球诈骗集团。“企业需要提高警惕,能否将骗子拒之门外主要取决于公司如何保护自己。”美国银行家协会负责支付和网络安全的高级副总裁道格·约翰逊提醒道,“转账前需要至少两名员工批准,必须作为一种正常的做法坚持下去。”
微软公司正在更新其电子邮件客户端,试图更快识别出恶意电子邮件并提醒用户。目前这一行动已取得部分进展,检测冒名邮件的成功率提高了500%。美国密苏里州大学的安全研究员乔希·里卡德2015年11月开发了一个微软Outlook邮件客户端的内嵌“钓鱼邮件报告工具”(Phish Reporter),在Outlook操作菜单上增加了一个新的按钮。用户可以在客户端上将他们认为是钓鱼攻击的邮件或垃圾邮件进行一键转发操作,发送到预先设定的收件人邮箱(公司安全研究人员或者事件响应小组的邮箱),以便最大限度地保存钓鱼邮件的现场数据,更好地对疑似邮件进行分析,及时做出合理的判断和处置。
2014年至今,对各大型企业进行的调研表明,有约50%的员工会点击钓鱼邮件的链接或者打开附件,而且一般用户都是将疑似钓鱼邮件转发给公司的安全人员,这样一来就破坏了邮件头信息,干扰了分析工作。因此从技术层面上建立反馈机制,是一个较好的应对方案。“钓鱼邮件报告工具”通过联动用户,保存原始现场信息,特别是重要的邮件头信息,大大增强了安全事件的预防及响应处理能力。
跨国黑客“网络盗窃”猖獗
国际刑事警察组织(ICPO)指出,跨国诈骗集团利用伪造信用卡在ATM机上大量取现的案件近年来时有发生。在这类案件中,犯罪嫌疑人从利用计算机病毒感染金融机构的计算机系统入手,进而伪造户头从ATM机上提取现金。
2016年5月15日早晨,日本100多名窃贼使用1600多张伪造信用卡从自动取款机上取走14亿日元现金。据日本警方介绍,犯罪嫌疑人来自跨国诈骗组织。警察在调取事发地点监控视频进行分析后发现,取第一笔款的时间为凌晨5时左右,8时以前取出最后一笔款项。窃贼在这期间利用伪造的1600多张信用卡,从分布在东京和16个县的大约1400家便利店的ATM机上取现14000次,每次取现金额为取款上限10万日元。事发当天是星期天,银行不营业,也就未能及时发现并采取措施。
犯罪分子使用的伪造信用卡信息来自南非标准银行,日本警方已通过ICPO与南非方面展开合作,包括调查该银行客户的信用卡信息是如何泄露的。“这场有组织的诈骗案精心谋划,我们也是其中的受害者。”该银行发表声明说。6月初,日本警方逮捕了这起“闪电取现”大案的部分犯罪嫌疑人。
最早发现黑客“抢银行”是在2013年下半年,乌克兰出现ATM机无故吐钱事件。当时的监控录像显示,在没有插入银行卡或触碰按钮的情况下,基辅一台ATM机竟会时不时自动吐出现金,并且有人“准时”待在机器前将钱取走。
知名的反病毒机构卡巴斯基实验室(Kaspersky Lab)2015年2月发表的一份报告说,一个跨国黑客团伙专门针对全球约30个国家和地区的100多家银行和金融企业发起网络攻击,并盗取银行账户资金。美国、欧盟、日本等均深受其害,迄今已损失高达10亿美元。这是全球银行业涉案金额最高、波及范围最广的“网络盗窃行为”之一,案件的严重性在于黑客袭击的对象是银行本身而非银行的终端用户,目的是冲着钱来而不是获取资料或情报。罪犯进行网络盗窃的手段非常熟练和职业化,银行无论使用的是什么防护软件对他们来说都没有差别。
接到协查请求后,卡巴斯基实验室派员深入调查,发现这只是一起“网络盗窃”惊天大案的一部分。这个犯罪团伙由来自亚洲和欧洲多个国家的黑客组成,从2013年年底起开始作案,利用一种名为“Carbanak”的病毒入侵诸多金融企业。这款病毒软件相当危险,在攫得盗取资金的账号信息的同时,还入侵银行系统管理员账号,使犯罪分子获得权限,通过内部视频监控镜头观察员工的一举一动。
黑客的作案手法首先是向银行系统员工发送看上去来自于可信赖渠道的病毒邮件,被点击打开后,病毒开始入侵内部系统,让黑客得以进入整个银行网络。犯罪分子在“潜伏”数月后对银行业务操作逐渐熟悉,便模仿银行员工的手法将资金转移到一些虚假账户,或者通过程序操控ATM机在指定时间吐钱。为防止银行方面立即发现,狡猾的犯罪分子还会修改报表,盗走差额部分;并且采取分散作案的办法,从每家银行窃取的资金不超过1000万美元,以保持较低的案值。
目前ATM机的状况也很令人担忧。由于很多ATM机本身的关键部分缺乏物理安全防护,或者大量使用了过时的、不安全的软件,抑或网络设置存在问题,因此网络罪犯在很多情况下并不需要使用恶意软件感染ATM机,也不必入侵银行的网络就可以成功进行攻击。许多银行ATM机的建造和安装并不合理,可以让第三方访问到ATM机内部的计算机,或者利用网线将设备连接到互联网。网络罪犯获取到部分ATM机的物理访问权限之后,就可能在其内部安装特殊的微型计算机(又被称为“黑盒子”),让攻击者可以远程访问ATM机,或者将ATM机连接到假冒的银行处理中心(一种处理支付数据的软件),这样攻击者无论发送任何指令,ATM机都会执行。
无独有偶,孟加拉国中央银行在美国纽约联邦储备银行开设的账户2016年2月遭黑客攻击,失窃8100万美元。失窃资金经菲律宾黎刹商业银行几次分批中转后,消失得无影无踪。其中大约2900万美元被转入马尼拉布隆贝里集团所属的菲索莱雷赌场的银行账户,2100万美元转入菲律宾北部卡加延省一家赌场的运营商账户,其余3000多万美元分数天转入一名赌团中介商的账户,并以现金形式取出。
2月5日(孟加拉国双休日的第一天),孟加拉国中央银行员工发现一台用于自动打印所有环球同业银行金融电讯协会(SWIFT)电汇记录的打印机发生“故障”,而且前一天的交易记录也没有打印,于是尝试手动打印,也失败了。此时纽约联邦储备银行已就四笔可疑转账来函询问,却无法及时打印。当银行员工试图操作那台用于发送SWIFT信息的电脑时,电脑屏幕却显示,用于打印或输出的NROFF.EXE文件“消失或被更改”。意识到SWIFT的跨行联络系统不正常后,孟加拉国央行2月6日下午1时30分向纽约联邦储备银行发去一封电子邮件,要求中止所有支付进程。然而当天是周六,没能联系上。2月8日下午SWIFT的跨行联络系统恢复正常工作后,孟加拉国央行将多条消息发送给黎刹商业银行,要求中止转账并退还失窃资金。可是第二天一早,相关账户在73分钟内被人5次提取。当天晚些时候黎刹商业银行回复孟加拉国央行时,8100万美元只剩下6.8万多美元。调查人员估计,黑客是在2月4日至5日对孟加拉国央行在纽约联邦储备银行的账户发动攻击并进行非法转账的,他们利用两地各自的休息时间打了个时间差。
孟加拉国央行怀疑,黑客事先给央行的一台打印机植入木马病毒,造成看似平常的“故障”,导致央行没能及时察觉这起震惊全球金融界的盗窃案。黑客不但操纵了用于SWIFT国际电汇的电脑和打印机,而且还通过木马病毒窃取了央行用于SWIFT跨行联络的系统,致使执法人员既看不到往外电汇的申请,也看不到证明汇款成功的收据。
这起黑客窃案拉响了孟加拉国270多亿美元外汇储备的安全警报,孟加拉国央行行长3月15日引咎辞职,两名副行长同一天被解职。
截至目前,孟加拉国已查明了盗窃者的身份:有近20名黑客参与了整个盗窃活动,均为外国人,此前曾住在日本、菲律宾和斯里兰卡。据悉这些罪犯曾试图窃取孟加拉国央行存在纽约联邦储蓄银行中的10亿美元,但被成功阻止。孟加拉国当局暂时还无法追回这笔资金。
据英国《金融时报》报道,美国联邦调查局(FBI)发现,近年来“商业电子邮件犯罪”正在以惊人的速度增加。在两年多的时间里,一种伪造首席执行官(CEO)电子邮箱账户的骗局在全世界蔓延。从2013年10月到2015年8月,全球因这种骗术蒙受的损失约为12亿美元,而从2015年9月至2016年2月又增加了8亿美元。
美国斯库勒公司(Scoular)是一家有124年历史的粮食贸易公司,拥有59亿美元资产。2014年6月,公司财务总监基思·麦克默特里收到CEO查克·埃尔沙发来的绝密电子邮件,要求他给一个离岸银行账户汇款1720万美元。埃尔沙告诉麦克默特里,公司正在为收购一家中国企业进行谈判,嘱咐他联系毕马威会计师事务所的律师罗德尼·劳伦斯,由对方提供汇款账户。“我们需要向中国展示足够的实力。”埃尔沙在电子邮件中写道,“基思,我不会忘记你在此次交易中的专业表现,我将很快向你表达谢意。”3个交易日后,麦克默特里将1720万美元转到了上海浦东发展银行户名为“大地公司”的账户中。然而让他绝对没有想到的是,这封电子邮件是伪造的。罪犯冒充埃尔沙创建了电子邮件账户,并以毕马威合伙人的名义虚构了邮箱和电话号码。劳伦斯律师声称从未听说过“大地公司”,和这家企业根本没有联系。
麦克默特里告诉FBI,自己当时之所以没有起疑心,一是斯库勒公司的确正在考虑向中国市场发展,二是年度审计工作也一直由毕马威会计师事务所进行,三是假的“埃尔沙”特意在邮件中嘱咐任务非常敏感,需要严格保密,称“为了避免违反美国证券交易监督委员会的规定,请只和我通过邮件交流”。
FBI已经查清,假 “埃尔沙”名下的电子邮箱服务器在德国,假“劳伦斯”的邮箱服务器位于莫斯科,骗子提供的电话号码最后查到是一个在以色列注册的网络电话(Skype)账号。斯库勒公司的律师告诉FBI,最终拿到这笔钱的“大地公司”是一家制造军靴的企业,该公司称这笔银行电汇是靴子销售合同的一部分,但斯库勒公司说并没有购买靴子。就在FBI设法进行进一步调查时,这个账户已被注销,资金也被转走。FBI称,斯库勒公司只是“CEO邮件骗局”中数千家受害公司之一。
美国AF Global公司是一家涉足航空航天、石油和天然气行业的大企业。2014年5月,财务主管格伦·乌姆收到一封邮件,邮件以集团CEO杰安·斯塔尔卡普的口吻命令道:“我指定你管理T521文件,它需要严格保密,必须优先于其他任务的财务操作……”乌姆遵照斯塔尔卡普不和任何人通气的嘱咐,直接将48万美元汇到一个账户。6天后一个自称为夏皮罗的人和乌姆取得联系,在确认款项收到后要求再次汇款1800万美元。这时乌姆产生了怀疑,表示在不提醒高管的情况下不能擅自转走这么多钱。然而为时晚矣,骗子的银行账户早已注销。
2015年元月,总部位于旧金山的线上支付公司Xoom Corp称,一份监管文件显示财务部门的一名员工被骗,将公司的3080万美元转到骗子提供的海外账户中。
“Xoom Corp已经建立起自己的先进科技系统来检测每一笔交易,内容包括测试合规性、反洗钱、可接受使用、反欺诈和风险下秒筹资。”Xoom的CEO约翰·孔策不无担忧地说,“虽然我们一直在识别、防止欺诈转账方面富于经验,并且将其列为公司的核心业务,但Xoom公司已经成为国际诈骗组织的一个目标,而这对于要识破防不胜防的诈骗来说,已经足够复杂了。”
2015年6月,美国无线网络产品制造商优博通(UBNT)的财务部门被冒牌高管欺骗,把4670万美元汇到海外账户中。
FBI互联网犯罪投诉中心公布的数据表明,遭遇“CEO邮件骗局”的案件越来越多,全球受害企业超过1.2万家,平均每家损失12万美元,损失最严重的企业甚至向境外的汇款高达9000万美元。至于那些给骗子转了5万美元的小公司,结局就更惨了,可能再也发不出工资,只能关门大吉。
世界顶级会计师事务所之一的普华永道会计师事务所2014年的信息安全漏洞报告指出,在互联网上遭遇外部攻击的大型企业和小企业分别达到57%和16%,受到冲击和威胁的企业越来越多。犯罪分子通常操纵受害者将钱转到他们暗中控制的在亚洲或非洲的银行账户上,当企业意识到被骗时,巨款早已无法追回。迄今为止,FBI已针对涉案资金追踪至108个国家。
“此事已完全失控了,骗子越来越嚣张。罪犯通过引入律师事务所或法律顾问等第三方实施欺诈,让受害者面对的情况变得更复杂、更隐蔽。”FBI金融网络犯罪工作组特工米切尔·汤普森强调道,“商业电子邮件欺诈是个很严重的问题,因为企业高管们非常依赖电子邮件,而且他们没有拿起电话确认交易或进行仔细检查的习惯。”
在 “CEO邮件骗局”中,犯罪分子行骗时会采取各种策略:或者通过钓鱼电子邮件账户入侵内部网络,以便获取高管的邮箱信息;或者为了迷惑受害者,利用与公司官方电子邮件地址只相差一个字母的冒牌邮箱,粗心的受害者往往被设计巧妙的虚假地址所欺骗;或者使用多种社交媒体,用发送垃圾邮件的方法来确定CEO是否在办公室,或在Facebook上观察CEO的出行时间,以此确定最佳作案时机。犯罪行骗的时间也很有讲究,冒充者们大都选择上午9点到10点向财务人员发出指示。这个时间段最为忙碌,财务人员常常需要处理多封邮件和若干个电话,紧迫感造成的巨大压力使得财务人员没时间质疑来自“高层”的命令,通常是不假思索地迅速执行。这是此类网络欺诈最喜欢钻的空子。
“通过互联网诈骗钱财的手法并不新鲜,有的犯罪集团曾经利用交友网站,从赈灾筹款或恐袭灾难捐款活动中获利。还记得10年前,告知人们中奖的诈骗邮件铺天盖地。”FBI反洗钱部门主管詹姆斯·巴纳克尔表示,“犯罪分子没有国界,这是个全球性问题。我们正在动用我们的刑事调查资源、网络资源和在海外的法律专员,努力应对网络犯罪问题。过去一年中,FBI与情报分析人员同全球执法机构建立了合作关系,但是没有足够的警力在互联网上监控犯罪分子。” FBI从不同的冒充CEO诈骗案中发现,一些诈骗手段看起来十分相似,不过目前仍不清楚是否存在一个领头的全球诈骗集团。“企业需要提高警惕,能否将骗子拒之门外主要取决于公司如何保护自己。”美国银行家协会负责支付和网络安全的高级副总裁道格·约翰逊提醒道,“转账前需要至少两名员工批准,必须作为一种正常的做法坚持下去。”
微软公司正在更新其电子邮件客户端,试图更快识别出恶意电子邮件并提醒用户。目前这一行动已取得部分进展,检测冒名邮件的成功率提高了500%。美国密苏里州大学的安全研究员乔希·里卡德2015年11月开发了一个微软Outlook邮件客户端的内嵌“钓鱼邮件报告工具”(Phish Reporter),在Outlook操作菜单上增加了一个新的按钮。用户可以在客户端上将他们认为是钓鱼攻击的邮件或垃圾邮件进行一键转发操作,发送到预先设定的收件人邮箱(公司安全研究人员或者事件响应小组的邮箱),以便最大限度地保存钓鱼邮件的现场数据,更好地对疑似邮件进行分析,及时做出合理的判断和处置。
2014年至今,对各大型企业进行的调研表明,有约50%的员工会点击钓鱼邮件的链接或者打开附件,而且一般用户都是将疑似钓鱼邮件转发给公司的安全人员,这样一来就破坏了邮件头信息,干扰了分析工作。因此从技术层面上建立反馈机制,是一个较好的应对方案。“钓鱼邮件报告工具”通过联动用户,保存原始现场信息,特别是重要的邮件头信息,大大增强了安全事件的预防及响应处理能力。
跨国黑客“网络盗窃”猖獗
国际刑事警察组织(ICPO)指出,跨国诈骗集团利用伪造信用卡在ATM机上大量取现的案件近年来时有发生。在这类案件中,犯罪嫌疑人从利用计算机病毒感染金融机构的计算机系统入手,进而伪造户头从ATM机上提取现金。
2016年5月15日早晨,日本100多名窃贼使用1600多张伪造信用卡从自动取款机上取走14亿日元现金。据日本警方介绍,犯罪嫌疑人来自跨国诈骗组织。警察在调取事发地点监控视频进行分析后发现,取第一笔款的时间为凌晨5时左右,8时以前取出最后一笔款项。窃贼在这期间利用伪造的1600多张信用卡,从分布在东京和16个县的大约1400家便利店的ATM机上取现14000次,每次取现金额为取款上限10万日元。事发当天是星期天,银行不营业,也就未能及时发现并采取措施。
犯罪分子使用的伪造信用卡信息来自南非标准银行,日本警方已通过ICPO与南非方面展开合作,包括调查该银行客户的信用卡信息是如何泄露的。“这场有组织的诈骗案精心谋划,我们也是其中的受害者。”该银行发表声明说。6月初,日本警方逮捕了这起“闪电取现”大案的部分犯罪嫌疑人。
最早发现黑客“抢银行”是在2013年下半年,乌克兰出现ATM机无故吐钱事件。当时的监控录像显示,在没有插入银行卡或触碰按钮的情况下,基辅一台ATM机竟会时不时自动吐出现金,并且有人“准时”待在机器前将钱取走。
知名的反病毒机构卡巴斯基实验室(Kaspersky Lab)2015年2月发表的一份报告说,一个跨国黑客团伙专门针对全球约30个国家和地区的100多家银行和金融企业发起网络攻击,并盗取银行账户资金。美国、欧盟、日本等均深受其害,迄今已损失高达10亿美元。这是全球银行业涉案金额最高、波及范围最广的“网络盗窃行为”之一,案件的严重性在于黑客袭击的对象是银行本身而非银行的终端用户,目的是冲着钱来而不是获取资料或情报。罪犯进行网络盗窃的手段非常熟练和职业化,银行无论使用的是什么防护软件对他们来说都没有差别。
接到协查请求后,卡巴斯基实验室派员深入调查,发现这只是一起“网络盗窃”惊天大案的一部分。这个犯罪团伙由来自亚洲和欧洲多个国家的黑客组成,从2013年年底起开始作案,利用一种名为“Carbanak”的病毒入侵诸多金融企业。这款病毒软件相当危险,在攫得盗取资金的账号信息的同时,还入侵银行系统管理员账号,使犯罪分子获得权限,通过内部视频监控镜头观察员工的一举一动。
黑客的作案手法首先是向银行系统员工发送看上去来自于可信赖渠道的病毒邮件,被点击打开后,病毒开始入侵内部系统,让黑客得以进入整个银行网络。犯罪分子在“潜伏”数月后对银行业务操作逐渐熟悉,便模仿银行员工的手法将资金转移到一些虚假账户,或者通过程序操控ATM机在指定时间吐钱。为防止银行方面立即发现,狡猾的犯罪分子还会修改报表,盗走差额部分;并且采取分散作案的办法,从每家银行窃取的资金不超过1000万美元,以保持较低的案值。
目前ATM机的状况也很令人担忧。由于很多ATM机本身的关键部分缺乏物理安全防护,或者大量使用了过时的、不安全的软件,抑或网络设置存在问题,因此网络罪犯在很多情况下并不需要使用恶意软件感染ATM机,也不必入侵银行的网络就可以成功进行攻击。许多银行ATM机的建造和安装并不合理,可以让第三方访问到ATM机内部的计算机,或者利用网线将设备连接到互联网。网络罪犯获取到部分ATM机的物理访问权限之后,就可能在其内部安装特殊的微型计算机(又被称为“黑盒子”),让攻击者可以远程访问ATM机,或者将ATM机连接到假冒的银行处理中心(一种处理支付数据的软件),这样攻击者无论发送任何指令,ATM机都会执行。
无独有偶,孟加拉国中央银行在美国纽约联邦储备银行开设的账户2016年2月遭黑客攻击,失窃8100万美元。失窃资金经菲律宾黎刹商业银行几次分批中转后,消失得无影无踪。其中大约2900万美元被转入马尼拉布隆贝里集团所属的菲索莱雷赌场的银行账户,2100万美元转入菲律宾北部卡加延省一家赌场的运营商账户,其余3000多万美元分数天转入一名赌团中介商的账户,并以现金形式取出。
2月5日(孟加拉国双休日的第一天),孟加拉国中央银行员工发现一台用于自动打印所有环球同业银行金融电讯协会(SWIFT)电汇记录的打印机发生“故障”,而且前一天的交易记录也没有打印,于是尝试手动打印,也失败了。此时纽约联邦储备银行已就四笔可疑转账来函询问,却无法及时打印。当银行员工试图操作那台用于发送SWIFT信息的电脑时,电脑屏幕却显示,用于打印或输出的NROFF.EXE文件“消失或被更改”。意识到SWIFT的跨行联络系统不正常后,孟加拉国央行2月6日下午1时30分向纽约联邦储备银行发去一封电子邮件,要求中止所有支付进程。然而当天是周六,没能联系上。2月8日下午SWIFT的跨行联络系统恢复正常工作后,孟加拉国央行将多条消息发送给黎刹商业银行,要求中止转账并退还失窃资金。可是第二天一早,相关账户在73分钟内被人5次提取。当天晚些时候黎刹商业银行回复孟加拉国央行时,8100万美元只剩下6.8万多美元。调查人员估计,黑客是在2月4日至5日对孟加拉国央行在纽约联邦储备银行的账户发动攻击并进行非法转账的,他们利用两地各自的休息时间打了个时间差。
孟加拉国央行怀疑,黑客事先给央行的一台打印机植入木马病毒,造成看似平常的“故障”,导致央行没能及时察觉这起震惊全球金融界的盗窃案。黑客不但操纵了用于SWIFT国际电汇的电脑和打印机,而且还通过木马病毒窃取了央行用于SWIFT跨行联络的系统,致使执法人员既看不到往外电汇的申请,也看不到证明汇款成功的收据。
这起黑客窃案拉响了孟加拉国270多亿美元外汇储备的安全警报,孟加拉国央行行长3月15日引咎辞职,两名副行长同一天被解职。
截至目前,孟加拉国已查明了盗窃者的身份:有近20名黑客参与了整个盗窃活动,均为外国人,此前曾住在日本、菲律宾和斯里兰卡。据悉这些罪犯曾试图窃取孟加拉国央行存在纽约联邦储蓄银行中的10亿美元,但被成功阻止。孟加拉国当局暂时还无法追回这笔资金。