跨国黑客“网络盗窃”.doc

1、1跨国黑客“网络盗窃”5 月 15 日早晨，日本 100 多名窃贼仅花去两个多小时，便使用1600 多张伪造信用卡从自动取款机（ATM）取出 14 亿日元（大约合 8330万元人民币）现金。 全球百家银行失窃 10 亿美元 据日本警方介绍，犯罪嫌疑人来自跨国诈骗组织。警察在调取事发地点监控视频进行分析发现，取第一笔款的时间为凌晨 5 时左右，8 时以前取出最后一笔款项。窃贼在这期间利用伪造的 1600 多张信用卡，从分布在首都东京和 16 个县的大约 1400 家便利店 ATM 上取现 14000 次，每次取现金额为取款上限 10 万日元（大约合 5950 元人民币） 。 事发当天是星期天，银

2、行不营业。罪犯选定这个时间段作案，以避免银行及时发现，为逃离日本争得更多时间。一些媒体猜测，由于事发周末并且已经过去多日，窃贼可能已经离开了日本。 犯罪分子使用的伪造信用卡信息来自南非标准银行，日本警方正通过国际刑事警察组织（ICPO）与南非方面展开合作，包括调查该银行客户的信用卡信息如何泄露。 “这场有组织的诈骗案精心谋划，我们也是其中的受害者。 ”该银行发表声明说， “调查目前正进入敏感阶段，我们将在合适时间公布更多相关信息。 ” ICPO 指出，跨国诈骗集团利用伪造信用卡在 ATM 大量取现的案件近年来时有发生。在这类案件中，犯罪嫌疑人从利用计算机病毒感染金融2机构的计算机系统入手，接着

3、伪造户头从 ATM 中提取现金。早在去年 4月，ICPO 就向日本发出警告，要求警惕类似事件。 知名的反病毒机构卡巴斯基实验室（Kaspersky Lab）去年 2 月 16日发表的一份报告说，一个跨国黑客团体专门针对全球约 30 个国家和地区的银行和金融企业发起网络攻击，并盗取银行账户资金。美国、欧盟、日本等国家和地区深受其害，迄今为止已损失高达 10 亿美元（大约合65.62 亿人民币） 。 总部设在莫斯科的 Kaspersky Lab 成立于 1997 年，在过去 19 年与计算机病毒的不懈斗争中率先开发出了大量的反病毒软件标准，积累了丰富的业内领先经验和知识，成为了顶尖的反病毒软件研发

4、提供商。 ATM 机缘何无故吐钱 最早发现黑客网络“抢银行”是在 2013 年下半年，乌克兰出现 ATM无故吐钱事件。当时的监控录像显示，即使没有插入银行卡或触碰按钮，基辅一台 ATM 机会时不时自动吐出现金，有人“准时”待在机器前将钱取走。 接到协查请求后，Kaspersky Lab 派员深入调查，发现这只是一起“网络盗窃”惊天大案的一部分。这个犯罪团体由来自亚洲和欧洲多个国家的黑客组成，从 2013 年年底起开始作案，利用一种名为 Carbanak的病毒入侵大约 30 个国家的 100 多家金融企业。这款病毒软件相当高级，在获取盗取资金相关的账号信息同时，能入侵银行系统管理员账号，让犯罪分

5、子获得权限，通过内部视频监控镜头观察员工的一举一动。 Kaspersky Lab 的专家证实，他们正在与当事国执法部门展开调查合3作，但没有透露受害金融企业的具体名称。在其中一起案件中，一家没有公开名称的银行被犯罪分子以“ATM 机吐钱”方式盗走了 730 万美元（大约合 4790 万人民币） ，另一家金融企业因网上交易平台的漏洞而损失 1000 万美元（大约合 6561.5 万人民币） 。犯罪分子的“网络盗窃”十分猖獗，目前还没有住手停止的迹象。专家们警告说，可能还会有银行因为系统遭病毒软件入侵，最终被黑客抢劫。 目前的现状很令人担忧。由于很多 ATM 机本身的关键部分缺乏物理安全防护，或者

6、大量使用了过时的和不安全的软件，或者网络设置中存在问题，因此网络罪犯在很多情况下并不需要使用恶意软件感染 ATM 机，也不必入侵银行的网络就可以成功进行攻击。 许多银行 ATM 机的建造和安装并不合理，可以让第三方访问到 ATM机内部的计算机，或者利用网线将设备连接到互联网。网络罪犯获取到部分 ATM 机的物理访问权限之后，就可能在 ATM 机的内部安装特殊的微型计算机（又被称为黑盒子） ，让攻击者可以远程访问 ATM。或者将 ATM机连接到假冒的银行处理中心（一种处理支付数据的软件） ，尽管它事实上并不属于银行，然而功能和银行使用的软件一样。一旦 ATM 连接到假冒的处理中心，攻击者就可以发

7、送任何指令，ATM 机都会执行。 这是全球银行业涉案金额最高、波及范围最广的“网络盗窃行为”之一，案件的严重性在于黑客袭击的对象是银行本身而并非作为终端用户的银行客户，目的是冲着钱来而不是获取资料或情报。罪犯进行网络盗窃的手段非常熟练和职业化，银行无论使用的是什么防护软件对他们来说都没有差别。Kaspersky Lab 提醒银行业了解事态的严重性，进一步4强化信息安全措施，升级防护软件，加大病毒扫描的频率，尽最大可能防范类似盗窃行为。 孟加拉国央行 损失 8100 万美元 孟加拉国中央银行在美国纽约联邦储备银行开设的账户今年 2 月遭黑客攻击，失窃 8100 万美元（大约合 5.31 亿人民币

8、） 。失窃资金经菲律宾黎刹商业银行几次分批中转后，消失得无影无踪。其中大约 2900 万美元（大约合 1.9 亿人民币）被转入马尼拉布隆贝里集团所属的菲索莱雷赌场的银行账户，2100 万美元（大约合 1.38 亿人民币）转入菲律宾北部卡加延省一家赌场的运营商账户，其余 3000 多万美元（大约合 1.97 亿人民币）分数天转入一名赌团中介商的账户，并以现金形式取出。在菲律宾，赌场是反洗钱法律的“盲区” ，赌博业成为反洗钱系统的“薄弱环节” ，最终可能难以锁定犯罪嫌疑人，无法追回损失。 2 月 5 日，孟加拉国中央银行员工发现一台用于自动打印所有环球同业银行金融电讯协会（SWIFT）电汇记录的打

9、印机发生“故障” ，而且前一天的交易记录也没有打印，于是尝试手动打印，却失败了。一名官员要求在下班前修好打印机，可当天是周五（孟加拉国双休日的第一天） ，只好决定等到第二天再修。这种故障以前发生过，所以当时以为只是跟平时一样的常见故障。 直到 2 月 6 日，技术人员才修好那台打印机，而纽约联邦储备银行 2 月 5 日已就 4 笔可疑转账来函询问，却无法及时打印。当银行员工试图操作那台用于发送 SWIFT 信息的电脑时，电脑屏幕却显示，用于打印或输出的 NROFF.EXE 文件“消失或被更改” 。 孟加拉国央行怀疑，黑客事先给央行的一台打印机植入木马病毒，5造成看似平常的“故障” ，导致央行没

10、能及时察觉这起震惊全球金融界的盗窃案。孟加拉国网络安全专家已就此案展开调查，黑客通过木马程序远程操纵央行的一台打印机，以掩盖行窃证据。不过，调查人员尚未发现显示央行有“内鬼”的证据。 SWIFT 是一个国际银行间非盈利的国际合作组织，为国际金融业务提供快捷、准确、优良的服务，运营世界级的金融电文网络，银行和其他金融机构通过它与同业交换电文，从而完成金融交易，还向金融机构销售软件和服务。 意识到 SWIFT 的跨行联络系统不正常后，孟加拉国央行 2 月 6 日下午 1 时 30 分向纽约联邦储备银行发去一封电子邮件，要求中止所有支付进程。然而当天是周六，那边休息，没能联系上。专家分析，不但用于S

11、WIFT 国际电汇的电脑和打印机被黑客操纵，而且还通过木马病毒窃取了央行用于 SWIFT 跨行联络系统，致使执法人员既看不到往外电汇的申请，也看不到证明汇款成功的收据。而这台电脑本应保存这些记录，以便银行员工随时查看。 2 月 8 日下午 SWIFT 的跨行联络系统恢复正常工作后，孟加拉国央行将多条消息发送给黎刹商业银行，要求中止转账并退还失窃资金。可是第二天一早，相关账户在 73 分钟内被人 5 次提取。当天晚些时候黎刹商业银行回复孟加拉国央行时，8100 万美元只剩下 6.8 万多美元（大约合44.62 万人民币） 。 调查人员估计，黑客是在 2 月 4 日至 5 日对孟加拉国央行在纽约联邦储备银行的账户发动攻击并进行非法转账的，他们利用两地各自的休6息时间打了个时间差。黑客原计划窃取将近 10 亿美元（大约合 65.62 亿人民币） ，由于在进行第五笔转账操作时拼错了收款方名称中的一个单词，引发相关中转银行警觉，交易被中止，最后得手 8100 万美元。 这起黑客窃案令银行业界震惊不已，拉响了孟加拉国 270 多亿美元（大约合 1771 多亿人民币）外汇储备的安全警报。孟加拉国央行行长阿蒂?拉赫曼 15 日引咎辞职，两名副行长同一天被解职，主管银行业的高级官员 M?阿斯拉姆?阿拉姆被解职。 编辑：郑宾