我怎样从银行“偷走”了1400万美元
○编译 森堡
《
青年参考
》(
2013年06月12日
39
版)
 |
安全罗盘公司的CEO尼什·巴拉保留着这张ATM机收据,作为他“窃取”了银行1400万美元的凭证。 |
2010年初,尼什·巴什带着这样的目的坐到电脑旁:从银行偷一大笔钱。
这并不是一次普通的抢劫。巴什是安全罗盘公司首席执行官,这家公司的业务是为银行、零售商、能源公司及其他涉及敏感数据的组织测试安全系统。他的客户雇他入侵自己的系统,2010年他“盗窃”的这家美国分行就是其中之一。
从银行偷钱要比想象中简单。近日,有人通过网络从银行窃取了4500万美元,引发很大关注,他们用的是一种凭空造钱的窃取办法。
巴什在接受美国有线电视新闻网财经频道(CNNMoney)采访时,讲述了他的经历。以下是他从银行“偷走”1400万美元的过程。
第一步:进入内部网络。
与真实的窃贼相比,巴什的一大优势是:他的客户允许他进入银行的内部网络。但现实生活中的窃贼也能使出一些奇招进入。巴什说,如今一些地方仅仅通过登录银行的无线网络就可能做到——为方便顾客,越来越多的银行正提供无线网络。一旦接入了银行的WiFi,你所在的内部网络与外部网络就不会被严格分开。银行的其他电脑可能会认为你的电脑属于银行,这个过程被称作“电子欺骗”。
另外一种方法是:派人伪装成门卫,将U盘插入柜员机,重启并运行新操作系统,这样做可以访问柜员机的硬盘,读取用户名与密码。由于能直接登录银行内部网络,巴什和助手们跳过了这一“获取物理访问”的步骤,直接奔着钱去了。
第二步:开始搜索。
巴什用网上可免费下载的“嗅探犬”软件,标出银行的哪些系统互相连接。然后他对交换机(一种能引导数据流的小盒子)发起攻击,用海量数据淹没银行的内部网络。这类攻击使交换机变成了一个任意对外输出数据的中心。柜员机成了巴什的主要目标。他再一次放出“嗅探犬”,在海量数据中寻找登录信息与密码。终于中了一个,他成功进了一台柜员机。
第三步:升级。
令人惊讶的是,在柜员机与分行主数据库间传递的信息没有加密。这意味着所有的银行账号与密码都暴露了。
第四步:拿钱。
巴什没有从储户的账户里拿钱,而是直接给自己新建了一个新账户。“我们进入了存有账户数据的数据库,新建了一个存有1400万美元的账户,”巴什解释说,“我们无中生有地造出了1400万美元。”
如果他愿意,他可以进入任何一家银行分部,将大笔的钱转入一个离岸账户,不用再回去工作了。但他没那么做,他到一部自动取款机上打出了他非法所得的记录。“银行高管们吓了一跳,”巴什说,“他们露出了震惊的表情。”他表示,银行立即删除了巴什的“巨款”,并采取措施加固他们的网络。
在近日曝出的盗窃案中,联邦官员们表示,窃贼们黑进了公司的网络,这些公司负责处理预付费借记卡交易并设置最高支付限额。骗子们得手后,只需根据所黑的账户制作物理磁卡,然后去提款机上取钱就可以了。“他们仅用借记卡信息更新数据库,”巴什说,“那太简单了。”
许多网络银行盗窃案,包括最近4500万美元这起,都很难确定最后由谁担责。一般来说个人客户不用担责。美国法律保护因为诈骗遭遇损失的用户支票与储蓄账户,对商业账户保护较少。巴什说,一些金融机构用保险来弥补损失——但他指出,保险公司不愿为类似损失提供高额度保单,因为这一领域的风险尚不明确。他表示,最终的损失可能由银行、保险公司、政府三方共担。
□美国有线电视新闻网(CNN)
2010年初,尼什·巴什带着这样的目的坐到电脑旁:从银行偷一大笔钱。
这并不是一次普通的抢劫。巴什是安全罗盘公司首席执行官,这家公司的业务是为银行、零售商、能源公司及其他涉及敏感数据的组织测试安全系统。他的客户雇他入侵自己的系统,2010年他“盗窃”的这家美国分行就是其中之一。
从银行偷钱要比想象中简单。近日,有人通过网络从银行窃取了4500万美元,引发很大关注,他们用的是一种凭空造钱的窃取办法。
巴什在接受美国有线电视新闻网财经频道(CNNMoney)采访时,讲述了他的经历。以下是他从银行“偷走”1400万美元的过程。
第一步:进入内部网络。
与真实的窃贼相比,巴什的一大优势是:他的客户允许他进入银行的内部网络。但现实生活中的窃贼也能使出一些奇招进入。巴什说,如今一些地方仅仅通过登录银行的无线网络就可能做到——为方便顾客,越来越多的银行正提供无线网络。一旦接入了银行的WiFi,你所在的内部网络与外部网络就不会被严格分开。银行的其他电脑可能会认为你的电脑属于银行,这个过程被称作“电子欺骗”。
另外一种方法是:派人伪装成门卫,将U盘插入柜员机,重启并运行新操作系统,这样做可以访问柜员机的硬盘,读取用户名与密码。由于能直接登录银行内部网络,巴什和助手们跳过了这一“获取物理访问”的步骤,直接奔着钱去了。
第二步:开始搜索。
巴什用网上可免费下载的“嗅探犬”软件,标出银行的哪些系统互相连接。然后他对交换机(一种能引导数据流的小盒子)发起攻击,用海量数据淹没银行的内部网络。这类攻击使交换机变成了一个任意对外输出数据的中心。柜员机成了巴什的主要目标。他再一次放出“嗅探犬”,在海量数据中寻找登录信息与密码。终于中了一个,他成功进了一台柜员机。
第三步:升级。
令人惊讶的是,在柜员机与分行主数据库间传递的信息没有加密。这意味着所有的银行账号与密码都暴露了。
第四步:拿钱。
巴什没有从储户的账户里拿钱,而是直接给自己新建了一个新账户。“我们进入了存有账户数据的数据库,新建了一个存有1400万美元的账户,”巴什解释说,“我们无中生有地造出了1400万美元。”
如果他愿意,他可以进入任何一家银行分部,将大笔的钱转入一个离岸账户,不用再回去工作了。但他没那么做,他到一部自动取款机上打出了他非法所得的记录。“银行高管们吓了一跳,”巴什说,“他们露出了震惊的表情。”他表示,银行立即删除了巴什的“巨款”,并采取措施加固他们的网络。
在近日曝出的盗窃案中,联邦官员们表示,窃贼们黑进了公司的网络,这些公司负责处理预付费借记卡交易并设置最高支付限额。骗子们得手后,只需根据所黑的账户制作物理磁卡,然后去提款机上取钱就可以了。“他们仅用借记卡信息更新数据库,”巴什说,“那太简单了。”
许多网络银行盗窃案,包括最近4500万美元这起,都很难确定最后由谁担责。一般来说个人客户不用担责。美国法律保护因为诈骗遭遇损失的用户支票与储蓄账户,对商业账户保护较少。巴什说,一些金融机构用保险来弥补损失——但他指出,保险公司不愿为类似损失提供高额度保单,因为这一领域的风险尚不明确。他表示,最终的损失可能由银行、保险公司、政府三方共担。
□美国有线电视新闻网(CNN)
上一版
缩小
全文复制
