在卡巴斯基实验室、国际刑警组织、欧洲刑警组织和多国权威机构的共同努力下,一起史无前例的网络抢劫案得以真相大白
在卡巴斯基实验室、国际刑警组织、欧洲刑警组织和多国权威机构的共同努力下,一起史无前例的网络抢劫案得以真相大白。在仅2年的时间内,抢劫团伙从全球金融机构窃取了高达10亿美元的资金。相关专家称,该抢劫团伙为跨国网络罪犯,分别来自俄罗斯、乌克兰和欧洲其他地区,还包括中国。负责网络抢劫的Carbanak犯罪团伙使用了针对性攻击的技巧。这次网络抢劫行动标志着网络犯罪行为已经进入到一个全新的阶段,网络罪犯可以直接从银行窃取资金,而非攻击终端用户。
从2013年开始,犯罪团伙总计向全球约30个国家和地区的100家银行、电子支付系统和其他金融机构发动了攻击。目前,攻击行动仍在进行。根据卡巴斯基实验室的数据,Carbanak攻击的金融组织目标位于俄罗斯、美国、德国、中国、乌克兰、加拿大、香港、台湾、罗马尼亚、法国、西班牙、挪威、印度、英国、波兰、巴基斯坦、尼泊尔、摩洛哥、冰岛、爱尔兰、捷克、瑞士、巴西、保加利亚和澳大利亚。
据估计,犯罪团伙盗通过入侵银行,一次所盗取的最大一笔金额高达一千万美元。针对一家银行的攻击和抢劫从感染银行内部网络中的第一台计算机开始到最后成功盗取资金后溜之大吉为止,平均历时约2至4个月。
网络罪犯通过鱼叉式钓鱼攻击利用金融机构员工的计算机入侵银行网络,使用Carbanak恶意软件感染受攻击者。之后,网络罪犯通过内部网络,对系统管理员的计算机进行视频监控,从而查看和记录负责资金转账系统的银行员工的屏幕。通过这种方式,网络罪犯可以了解到银行员工工作的全部详情,从而模仿员工的行为,盗取资金和现金。
资金如何被盗取
1. 当时机成熟时,网络罪犯会使用在线银行或国际电子支付系统将银行账户中的资金转移到自己账户。第二种情况下,窃取到的资金会被存到中国或美国的银行。此外,安全专家没有排除网络罪犯使用其他国家银行作为接收账户的可能。
2. 在其他情况下,网络罪犯会直接入侵金融机构的记账系统核心,增加账户余额,之后通过欺诈交易将多出的资金转出。例如,某个账户的余额为1,000美元,网络罪犯将这一余额更改为10,000美元,之后将其中的9,000美元转账给自己。这样,账户持有人也不会怀疑有任何问题,因为自己最初的1,000美元仍然保持不变。
3. 此外,网络罪犯还可以控制银行的ATM机,命令这些机器在指定的时间吐出现金。当到支付时间时,网络罪犯会派人在ATM机旁边等待,以取走机器“主动”吐出的现金。
“这种银行抢劫行为非常令人震惊,因为对于网络罪犯来说,无论银行使用何种软件已毫无分别。所以,即使银行使用了特有的软件,仍然无法做到安然无恙。攻击者甚至根本无需入侵银行服务:网络罪犯入侵到银行网络后利用合法的行为隐藏自身的恶意企图。这是一种非常狡猾和专业的网络抢劫”,卡巴斯基实验室全球研究和分析团队首席安全研究员Sergey Golovanov评论说。
“这些攻击再一次表明,网络罪犯会利用系统中可能存在的任何漏洞。同时,也提醒我们,没有一个行业和领域能够幸免于此,所以我们必须不断增强安全措施。国际刑警组织和卡巴斯基实验室合作的一个重点就是揭示网络犯罪的最新趋势,从而帮助公共行业和私营企业更好地保护自身,应对不断演化的恶意威胁”,国际刑警组织数字犯罪中心总监Sanjay Virmani说。
卡巴斯基实验室建议所有的金融机构仔细检查和扫描自己的网络,查找是否被Carbanak恶意软件所感染。如果发现感染,请立即上报至执法机关。
请参阅securelist.com上的相关博文,了解更多关于“carbanak”行动的详情。
