2016年4月26日星期二

孟加拉国央行是怎么弄丢1.01亿美元的?黑客还是政府?

从孟加拉国央行,到美联储,再到菲律宾,各银行和技术提供商都拒绝承认自己在此事件中存在过失。
近期,孟加拉国央行纽约联储账户1.01亿美元资金被盗案引起轩然大波。被盗资金中,有2000万美元被转到斯里兰卡,目前已被追回。另外8100万美元被转到菲律宾,至今去向未知。




“文件缺失或更改”


据《金融时报》18日报道,当地时间2月5日(周五),孟加拉国央行安全交易办公室的打印机再次出现故障,无法获取前一日的交易记录。2月6日,该行工作人员发现,他们的SWIFT金融交易系统无法打开。根据达卡警察局后来披露的信息,当时大屏幕上显示:“文件缺失或更改。”
该国央行当日最终重新进入其系统、打印机也恢复正常,这时他们发现了纽约联储向该行发送的数条信息,内容是对孟加拉国央行2月4日通过SWIFT系统的一连串转账提出质疑。
当他们发现异常交易时立即向美联储、马尼拉菲律宾中华银行(Rizal Commercial Banking Corporation)、花旗银行、纽约梅隆银行、富国银行以及斯里兰卡泛亚银行(Pan Asia Banking Corporation)发出停止交易的指令,但为时已晚。
孟加拉国是穆斯林国家,周末为周五与周六两天,而周日则是工作日第一天。2月7日周日这天,当孟加拉国央行通过邮件、电报、电话等各种方式联系纽约联储时,纽约联储正值周末而未能及时回应。 2月8日周一这天则正值菲律宾假日,庆祝中国农历新年。
“我们当时很害怕,不清楚具体情况怎样,不知道到底丢失了多少钱。”孟加拉国央行官员称。


资金去哪了?


与其他央行一样,孟加拉国央行在纽约联储开设账户,用以进行国际支付。纽约联储总共收到了35个“虚假”的孟加拉国央行转账指令,并按照指令进行了5次转账,资金总额达1.01亿美元。但出于未知原因,纽约联储并没有继续按照黑客要求进行另外30次转账。如果这30次交易也成功的话,孟加拉国央行的损失可能高达近10亿美元。
在1.01亿美元中,2000万美元转到了斯里兰卡一个号称是非政府组织的账下,这部分资金已被追回。原因是,黑客在转账申请中将该组织名字中的“Foundation”错拼成了“Fandation”,交易中间行德意志银行对此产生质疑,并向孟加拉国央行寻求声明,因此阻止了这次交易。
另外8100万美元则转移到了菲律宾的4个账户中,据称是为支付孟加拉国的基建项目,包括桥梁、发电厂以及达卡的地铁项目。
菲律宾反洗钱委员会(AMLC)的Julia Bacay Abad 称,流入菲律宾的这部分资金2月5日进入了菲律宾中华银行(RCBC)马尼拉支行的4个账户。
接下来的一周,这部分资金被转到一个叫William So Go名下的一个账户,后又转给一个名为Philrem的汇款公司,然后进入了菲律宾博彩业。其中,2900万美元进入了菲律宾布鲁姆贝瑞度假村公司(Bloomberry Resorts)的账户,2100万美元进入东方夏威夷休闲公司(Eastern Hawaii Leisure Company)账户,这两家公司都涉足博彩业。另外3100万美元现金由Philrem转给了一个名叫Weikang Xu的人,此人据称是一个带团经纪(Junket Agent),负责组织赌客到赌场赌博。3100万美元现金据称重达3000斤。
资金流入菲律宾博彩业后便不知去向,至今未被追回。


蓄谋已久?


值得注意的是,收到纽约联储8100万美元资金的菲律宾中华银行(RCBC)马尼拉支行的4个账户早在2015年5月份便已开户,但这几个账户到上个月收到纽约联储转账前一直未被使用。调查者称,用来开户的驾驶证是伪造的。可以看出,罪犯可能早有预谋。
菲律宾国会上周关于该案件听证会的焦点落在了菲律宾中华银行马尼拉支行行长Maia Santos Deguito身上。据《金融时报》报道,后来被转入的William So Go名下的账户是由菲律宾中华银行马尼拉支行行长Deguito所开,该账户后来的转账也是由Deguito安排。
路透社21日报道援引AMLC的文件称,2月8日,孟加拉国央行通过SWIFT银行间通信系统向RCBC发送了数条消息,要求其停止交易,归还资金。但第二天早上73分钟内,这4个账户进行了5次提款交易。到该支行当天稍晚时候回复孟加拉国央行时,8100万美元只剩下6.8305万美元。而颇为巧合的是,该行的监控系统在2月4日到9日这几天发生故障。
Deguito在听证会上对此事表示沉默。中华银行首席执行官Lorenzo Tan称,该行完全否认“任何知悉、共谋、参与1亿美元洗钱的行为” Tan还告诉菲律宾国会,因为银行的存款保密法律,他不能透露任何信息。


薄弱环节


洗钱是菲律宾面临的一个最严重问题,原因是该国有大量国际毒品交易,官员贪腐严重,人口走私,以及海外菲律宾人往其国内的汇款。菲律宾此前一直在全球反洗钱组织的“灰名单”上。
为此,该国在2013年修改了其“反洗钱法案”,从此摆脱了全球洗钱“灰名单”。但由于政治原因,赌场业并没有被纳入“反洗钱法案”。而这恰恰成为菲律宾反洗钱系统的软肋,博彩业成为菲律宾洗钱的热门目标。
而菲律宾也大力发展博彩业。为成为与澳门、新加坡一样的亚洲赌场聚点,菲律宾机场附近建有两家世界级的大赌场,另外还有两个在建。布鲁姆贝瑞度假村公司的Silverio Benny Tan称,赌场方面并没有对收到数百万美元产生质疑。“我们不知道这是黑钱……当时是中国农历新年……赌场预期会有更多人来玩,因此不觉得这有什么异常。” Tan说。
“如此大规模的资金流入了菲律宾赌场,凸显了菲律宾反洗钱系统的弱点,可能使菲律宾再次进入金融行动特别工作组(Financial Action Task Force)‘灰名单’”,菲律宾国会议员Guingona称。


谁的过失?


从孟加拉国央行,到美联储,再到菲律宾,各银行和技术提供商都拒绝承认自己在此事件中存在过失。
孟加拉国央行称,“错误的指示”使数百万美元落到了错误的人手中。
纽约联储称,没有证据显示有与这些转账相关的任何人试图入侵其系统,“支付完全经过SWIFT信息系统标准的身份验证”。
《华尔街日报》21日报道援引网络安全公司火眼公司(FireEye Inc.)的调查报告称,早在事发前几周,黑客便将恶意代码植入孟加拉国央行的服务器,模拟伪造该行从美联储账户中转账的信息,以处理并授权虚假转账。该行遭到入侵的计算机多达32台。火眼公司正在孟加拉国央行总部调查此事。
该公司调查人员已经确认,黑客的恶意软件“拥有高级的指挥和控制性能”,专门针对孟加拉国央行的SWIFT服务器——Swift AllianceAccess (SAA) ,这是孟加拉国央行进入SWIFT网络系统的界面。
还不清楚罪犯如何将恶意软件植入到孟加拉国央行的电脑中。有孟加拉国官员称,允许黑客通过SWIFT系统发送欺骗信息的恶意软件可能仍然还留在孟加拉国央行的网络系统中。
除了植入恶意软件外,网络罪犯还使用了黑客工具,包括键盘记录软件,监视击键记录,窃取了孟加拉国央行进入SWIFT系统的认证信息。SWIFT系统是环球银行间金融电信协会(简称SWIFT)提供的一个封闭系统,全球3000多家金融机构利客户利用该系统通过发送安全的信息来授权金融交易。
“我们重申,SWIFT网络系统本身没有被入侵,目前我们的首要任务是调查中期报告,让客户检查内部安全,加强当地操作系统。”一位SWIFT发言人称。
《金融时报》还称,孟加拉国政府机构以及其银行系统贪腐严重,该国及美联储都没有排除孟加拉国央行内部人员作案的可能。


相关阅读:

在中国,黑客真的能侵入银行吗?

从银行系统黑钱的方式,主要有以下几种:
1. 内部利用应用系统的权限或漏洞,或者越权操作,隐蔽操作等,比如说小额系统等监管合规不严的系统。和黑客技术无关。
2. 利用职权操作。和黑客技术无关。
3. 黑掉某帐户,非帐户系统,转账到某卡,提款,跑。(ATM 机装摄像头也属这种类型)
4. 利用职权,获取帐户信息(姓名、联系方式、存款、消费等),整体出卖,不少钱呢,优质资料一条好几块钱。
但是,直接黑掉银行核心系统拿钱的,我从来没有听说过。不管是拿到 web 系统服务器权限,还是拿到 ATM 机权限啥的,都没用,我就算开放行内生产网给一个黑客,他想搞破坏容易,拿钱出来很难。银行的核心系统 + ESB 或者前置之类的体系超级复杂,每个银行完全不一样,关系超级复杂,数据结构根本看不懂,某些人想象的直接去改核心数据库根本不可能。唯一的可能性就是提到的外包团队干的,但是确实没听说有发生过这种事。
银行安全里有个段子,当年的黑客界领军人物小榕,写流光溯雪的那位前辈,后来供职于某 IT 公司,去某个银行做交流时,在会议室随便插了一个以太端口,过了没多久,把银行的一套重要系统的权限拿到了,然后签了一张安全大单。我非常质疑这个传说,按照银行正常内部环境,会议室的网络根本无法访问生产服务器区域,破解难度非常高,而且不可能是那么一时半会能做到的。本着八卦精神,我一直四处打听,最后找到了小榕部门的销售,证实这事子虚乌有。从那时起,我现在对很多段子性的黑客故事,抱有充分的怀疑。
但是,我现在很担忧一件事。就是这两年的互联网金融这一块,很多小银行都在急匆匆的上马这块业务。这方面内容和网银不一样,网银的账务交互是连内网核心系统的,只是柜面系统的外延。但是互联网金融是全新的模式,通常做法以网上商城为主要内容,因为要适配多个银行的银行卡,所以是和核心系统无关的单独的一套电子账户系统,有帐户余额。整个互联网金融系统现在良莠不齐,有些就是小开发商拿个小电子商城的系统改一下就上的,安全保护机制也不行,也没有成熟的监管扎帐合规体系,漏洞非常大,技术上从外网直接黑掉电子帐户系统直接改钱是非常有可能的。

没有评论:

发表评论