Loading AI tools
孟加拉银行在纽约联邦储备银行开设的帐号被黑客利用SWIFT网络盗取资金事件 来自维基百科,自由的百科全书
孟加拉银行遭黑客入侵事件是指2016年2月疑似来自朝鲜[1]的黑客向环球银行金融电信协会网络(SWIFT)发出35条欺诈性指令,将孟加拉银行开设于纽约联邦储备银行的账户中近10亿美元的资金非法转出。35条指令中的30条被纽约联邦储备银行搁置,而其余5条指令得以执行。得到执行的5条指令共涉及1.01亿美元,其中2000万流向斯里兰卡,8100万流向菲律宾。其中2000万流向斯里兰卡的资金,因拼写错误[2]受到路由银行德意志银行怀疑,而未能转账成功,最后被追回。然而,截至2018年,转往菲律宾的8100万中,只有1800万被追回[3]。资金流入菲律宾后,进入了四个均由同一个人用户(非公司或企业)持有的帐号。后来据推测Dridex病毒在事件中被使用[4]。
事件中,菲律宾中华银行员工的可疑活动不容忽视。这批员工完全违反菲律宾反洗钱法,无视菲律宾中央银行要求冻结涉案帐号的命令,用闪电般的速度将资金从银行洗出[5]。早在案发一年前,孟加拉银行行长便预见银行网络安全系统的脆弱之处,聘请一家美国网络安全公司加固银行的防火墙、网络和整个网络安全系统。然而,由于领导层设置层层障碍,安全公司无法执行项目,到了事发后才开始在孟加拉国执行任务[6]。
此次袭击并非该国首例。2013年,孟加拉索纳利银行被入侵黑客成功转走25万美元。据推测,两起案件的嫌犯均由银行内部人员协助,利用了银行访问SWIFT网络时的漏洞[7][8]。
在案件中,案件使用了利用Microsoft Word的巨集窃取银行凭证的病毒Dridex[9]。该病毒主要针对Windows用户。用户改开附有Word或Excel文件的电子邮件,触发巨集启动Dridex的下载,感染电脑,为银行系统打开漏洞。病毒的主要目标是从受感染机器的用户处窃取银行信息[10],立刻启动欺诈交易程序。该软件获取信息后,会安装键盘侦听软件,执行注入式攻击。2015年期间,该病毒在英国造成2000万英镑、在美国造成1000万美元的损失。截至2015年,有20多个国家受该病毒袭击。2016年9月上旬,研究人员首次发现该病毒正针对加密货币钱包[11]。
利用孟加拉中央银行安全系统的弱点,加上可能有内部员工的协助[12],入侵者尝试盗走该银行在纽约联邦储备银行账户的9.51亿美元,时间定在2月4日到5日银行办公室关门休息的某个时候。嫌犯设法破坏银行的计算机系统,观察转账完成的过程,获取银行的转账凭证。随后,他们利用凭证向纽约联邦储备银行请求36次,要求授权将孟加拉银行在该行账户的资金,转移到在斯里兰卡和菲律宾开设的账户。
银行系统将涉及8.51亿美元的30笔交易标记为经工作人员审查,但只有5项请求获得通过;其中2000万资金流向斯里兰卡(后来被追回)[13][14],8100万转往菲律宾,于2016年2月5日进入该国的银行系统。这些钱后来经赌场清洗,之后部分款项被转到香港。
黑客转移到斯里兰卡的2000万美元流向了当地的一家名叫沙利卡基金会(Shalika Foundation)的私人有限公司。然而,黑客在转账请求中将“Foundation”误写成“Fundation”,遭到路由银行德意志银行怀疑,要求孟加拉银行澄清,随后中断了转账[13][15][16]。
斯里兰卡的泛亚银行最初注意到交易,其中一名职员认为交易金额对于像斯里兰卡这样的国家而言太过庞大,于是将异常交易转给了德意志银行。斯里兰卡的资金已由孟加拉国银行全数追回[13]。
转移至菲律宾的资金被存放在中华银行的五个独立账户中,后来发现这些账户均用虚假身份开设。资金之后流向一家外汇经纪商,由经纪商转换成菲律宾比索,返回给菲律宾中华商业银行公司,汇入到一名华裔菲律宾商人的帐号[17][14],该转换于2016年2月5日到13日进行[18]。另据发现,涉事的四个美元账户早在2015年5月15日便于菲律宾中华商业银行公司开设,2016年2月4日事发前无任何活动[18]。
2016年2月8日,适逢中国农历新年,孟加拉银行通过SWIFT通知中华银行中断交易,退回资金,若资金已经转出,便“冻结资金”。由于新年是菲律宾的节假日,中华银行一天后才从系统受到孟加拉银行的指令。这时,中华银行马卡蒂朱庇特街分行已经处理了5815万美元提款[18]。
2月16日,孟加拉银行行长请求菲律宾中央银行协助追回8100万美元资金,表示中华银行通过的SWIFT支付系统指令是欺骗人的[18]。
最初,孟加拉国并未发现系统被攻破。中央银行行长与美国公司世界信息网络安全主导安全事件响应、漏洞评估与修补工作。安全公司让调查公司麦迪安进行调查。调查人员在系统中发现了“痕迹”和黑客病毒,显示系统已被破坏。调查人员表示黑客身处孟加拉国以外地区。孟加拉银行已对该案展开内部调查[13]。
孟加拉银行的内部调查发现银行的系统于2016年1月被安装病毒,有关国际支付和资金转移操作程序的信息被窃取[18]。调查发现于索纳利银行2013年一起未解决的黑客事件中,有25万美元被仍不知身份的黑客盗取。报道表示,和2016年中央银行的入侵一样,那次入侵中黑客同样利用SWIFT国际支付网络进行欺诈性资金转移。孟加拉当局一直将列为悬案,直到2016年类似的犯案手法再度出现[19]。
菲律宾国家调查局调查了一名据称在非法资金洗钱过程中起到关键作用的华裔菲律宾人。调查局与菲律宾反洗钱理事会等有关政府部门进行合作。理事会的调查于2016年2月19日启动,目标是一位中间商的账户[18]。理事会根据菲律宾司法部的调查,起诉涉案的一位中华银行分行经理与五名未具名人士[20]。
2016年3月15日,在蓝丝带委员会和国会反洗钱法案监督委员会主席、参议员特奥菲斯托·金戈纳三世举行听证会[21]。随后的闭门听证会于月17日举行[22]。菲律宾娱乐及游戏公司也进行内部调查[13]。2016年8月12日,中华银行缴纳菲律宾央行开出的10亿比索罚单中的半数[23]。该银行的董事会此前进行了重组,人数从7人减到4人[24]。
2019年1月10日,中华银行前经纪人玛雅·桑托斯·德吉托(Mala Santos Deguito)被菲律宾法院裁定洗钱罪成立,被判4至7年监禁[25]。2019年3月12日,中华银行起诉孟加拉银行,罪状是“用大规模的战术策略进行公开诽谤、骚扰和威胁,目的是为了破坏中华银行的良好声誉和形象[26]。”
总部均为美国的火眼麦迪安取证部门和世界情报网络安全组织调查了案件。调查人员表示,嫌犯之所以了解孟加拉银行内部操作流程,可能是内部工作人员监视。一份单独的报道中,美国联邦调查局表示特工们发现了至少有一名银行雇员协助犯案的证据,另有几人可能协助黑客浏览孟加拉银行计算机系统[27]。孟加拉政府正考虑起诉纽约联邦储备银行,以追回被盗资金[13]。
美国联邦检察官认为朝鲜政府可能牵涉该案[28]。他们正在准备起诉朝鲜指挥此次行动,而涉嫌在资金被转移到菲律宾后为进一步转移提供便利的“中国中间人”也将被起诉[29]。
赛门铁克和英国宇航系统等安全公司表示,位于朝鲜的全球最活跃国家背景黑客群体拉撒路集团可能策划了袭击。他们表示孟加拉银行案和2014年索尼影业遭黑客攻击事件的犯案手法相同。网络安全专家说,该组织也策划了2017年5月感染全球数千台电脑的WannaCry勒索软件袭击[30]。
被盗资金可能部分或全数流入朝鲜。据两名直接了解调查情况的官员说,联邦调查局正在研究朝鲜与黑客攻击的可能联系[30]。
美国国家安全局副局长理查德·莱奇特认为,“如果索尼案的嫌犯和孟加拉案嫌犯之间的联系是确实存在的,就表示整个国家都在抢银行[31]。”
美国起诉了一名声称代表平壤政权入侵孟加拉银行的朝鲜计算机程序员。该名程序员也涉嫌参与WannaCry 2.0和索尼影业遭黑客攻击事件两起全球网络袭击[32]。
计算机安全研究人员将盗窃和多达11起另外的袭击联系起来,声称朝鲜参与了袭击。如果属实,这将是有史以来首起已知的由国家策划的利用网络袭击盗取资金的案件[33][34]。
中华商业银行公司表示绝不容忍旗下银行在案中的非法行为。该行主席洛伦佐·V·谭表示将与反洗钱理事会和菲律宾中央银行合作调查[35]。法律顾问已要求中华银行朱庇特街分行经理解释涉嫌用于洗钱诈骗的伪造银行帐户缘由[36]。
中华董事会也发起了内部调查。谭主席申请无限期休假,方便当局调查案件[37][38]。5月6日,尽管银行内部调查证明无任何不当行为,谭仍以“尽全部道德责任”为由辞职[39][40]。中华银行创办人杨应琳的女儿海伦(Helen Yuchengco-Dee)将接管业务。银行也为涉及案件公开道歉。
孟加拉银行行长阿蒂尔·拉赫曼于2016年3月15日向总理谢赫·哈西娜递交辞呈。此前,拉赫曼表示将为祖国辞职[41]。之后,他辩护称自己一年前便预见到网络安全系统的漏洞,聘请了一家美国网络公司加固银行的防火墙、网络和整个网络安全系统。然而,他指责官方设置层层障碍,妨碍安全机构开始在孟加拉的业务,促成案件发生[6]。
2016年8月5日,菲律宾中央银行批准就未遵守与银行抢劫有关的银行法律法规,向中华银行开出的10亿比索罚单。这是中央银行有史以来向金融机构开出的最大罚单。中华银行表示会遵守央行决定,支付罚款[42]。
孟加拉银行继续追回被盗的款额,但最终只追回约1500万美元,大多数资金出自马尼拉都会区的一个博彩中介人处。2019年2月,联邦储备银行承诺帮助孟加拉国银行收回款项,SWIFT也决定帮助该国央行重建基础设施。孟加拉银行也认为中华银行是案件同谋,于2019年初到美国纽约南区联邦地区法院指控菲律宾银行“大规模密谋”犯案。对此,中华银行提起诉讼,指控孟加拉国银行诽谤,认为孟加拉国银行的说法毫无根据[43]。
案件使得菲律宾可能被列入打击清洗黑钱财务行动特别组织黑名单的风险[44]。外界认为,自从2012年菲律宾的立法机关计划将赌场排除在需向反洗钱理事会报告可疑交易的名单外,该国打击洗钱的努力便可能存在弱点。
案件也凸显政府和私人机构面临着网络罪犯利用真实的银行授权码,让订单变得真实的风险。SWIFT建议利用SWIFT联盟访问系统(SWIFT Alliance Access)的银行加强网络安全姿态,确保遵守SWIFT安全准则。根据卡巴斯基实验室实时绘制的网络威胁图,孟加拉国是被攻击次数排名第二的国家[45]。
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.