ATM自動吐錢 揭最大銀行黑客案
俄羅斯最大網絡安全公司卡巴斯基實驗室調查發現,一個包括俄羅斯、中國與歐洲人在內的犯罪集團,用惡意程式入侵30國逾百家銀行及其他金融機構,盜走至少3億美元。
《紐約時報》報道,卡巴斯基實驗室(Kaspersky Lab)將定於今天公布的調查報告預先提供給該報,揭示這宗可能是史上其中一宗規模最大、卻沒有常見搶劫[象的銀行劫案。
報道稱,案件於2013年底曝光,烏克蘭首都基輔一部自動櫃員機突然隨意吐出鈔票,閉路電視顯示,當時沒人插入銀行卡,也沒人按動按鈕,成堆現金被剛好出現在櫃員機前的人一掃而空。
侵30國百銀行 至少竊23億
卡巴斯基應邀派員到烏克蘭調查,發現有黑客向銀行職員發出含有惡意程式「Carbanak」的電郵,一旦有人上當,程式便逐步滲透處理日常轉帳與記帳的電腦系統,盜取鍵盤輸入紀錄、屏幕截圖以至錄像資料,犯罪集團從中得悉銀行日常運作程序,並控制銀行電腦系統。
犯罪集團其後假扮銀行人員控制銀行轉帳,不僅操控自動櫃員機吐錢,還從俄羅斯、日本、瑞士、美國與荷蘭等國的銀行,轉移大筆資金至其他國家的銀行開設的假冒帳戶。兩名了解調查內情的人士向《紐時》稱,這些假帳戶在摩根大通與中國農業銀行設立,兩家銀行拒絕回應。
入侵控制轉帳 摩通農行設假戶口
卡巴斯基稱已發現犯罪集團盜走3億美元的證據,銀行實際總損失可能是此金額的3倍。黑客把每次盜取款項上限設為1000萬美元,但大部分時候都只會盜取小額款項,以避免引起懷疑。
報告描述,黑客瞞天過海的招數包括假扮銀行職員更改帳戶金額,例如把戶口存款由1000元改為1萬元,然後把製造出的9000元差額轉走,戶口持有人不會察覺有問題,銀行也要過一段時間才發現出事。
卡巴斯基稱,許多銀行的系統每隔數小時才檢查一次戶口,讓不法分子有機可乘。卡巴斯基形容,今次可能是全球歷來最高明的網絡攻擊,犯罪者極有耐性,在植入惡意程式後會觀察系統運作2至4個月才動手,而攻擊持續了近兩年,似乎仍末停止。由於與遇襲銀行簽訂了保密協議,卡巴斯基不能透露遇劫銀行的名稱,據稱俄羅斯是最大受害者。
迄今未有銀行承認遇竊,《紐時》稱這可能由於銀行不願承認系統輕易被人滲透。美國政府已獲知會調查結果,正核實及評估損失。助金融業界防範網絡威脅的「金融服務信息共享和分析中心」(FS-ISAC)稱,其成員已察覺到攻擊舉動。
(紐約時報)
