(纽约16日讯)俄罗斯电脑安全公司卡巴斯基实验室(Kaspersky Lab)周一发表报告,揭发可能是历来其中一宗最大型的银行盗窃案。30个国家逾百家银行及金融机构遭受恶意软件入侵,合共最少损失3亿美元(10亿6800万令吉)。
2013年底,乌克兰基辅一部自动提款机看似随机自动吐出现金,有人若无其事地捡走这笔“幸运钱”。有关方面委托卡巴斯基调查,竟发现银行职员每日用以转帐和记帐的电脑已被恶意软件渗透,骇客对银行的一举一动了如指掌。
美国《纽约时报》引述卡巴斯基的报告称,包括俄罗斯人、中国人和欧洲人在内的犯罪团伙,主要看中俄罗斯的银行,但许多日本、美国、瑞士和荷兰银行也中招。
骇客入侵银行的电脑后,用2至4个月的时间观察其运作,之后透过不同方式拿钱,有时在网上银行自由汇款至人头户;有时则遥控提款机吐钱,并安排同党在提款机旁收钱。
最大额度的失窃是透过入侵银行的会计系统,轻易调整帐户馀额。例如某帐户结馀为1000元,骇客可使其显示为一万元,并偷取9000元差额,让结馀还原为1000元,帐户持有人和银行未必发觉中间的改动。
窜改账目操纵转账
调查负责人戈洛凡诺夫说:“我们发现,很多银行每10小时才核对帐户一次,在这段期间内可以改变金额和转移资金。”
骇客偷钱的成功率令人吃惊,卡巴斯基获得的证据显示,最少有3亿美元被盗,而实际总数有可能是3倍,但实际数字难以查证。
国际刑警展开调查
卡巴斯基的一个客户有730万美元(2600万令吉)从提款机被盗,另一客户因会计系统被入侵损失1000万美元(3560万令吉)。
基于银行保密协议,卡巴斯基不能公开涉及的银行名称,但据悉有转帐的受款户口设在美国摩根大通和中国农业银行,两家银行未有回应事件。
美国联邦调查局(FBI)及白宫已知悉事件,正在计算损失;国际刑警的新加坡办事处,已联同荷兰高科技犯罪科及受影响国家的执法部门展开调查。
银行保声誉 不敢承认遭入侵
纵使全球有超过100家银行在过去两年多成为这次骇客入侵的受害者,涉及金额不菲,但银行业界为保护声誉,对事件讳莫如深,无一公开承认曾被骇客“光顾”。
《纽约时报》报导,美国金融服务业资讯分享与分析中心表示,已将这次骇客事件通知所有会员机构,政府部门亦有向银行通报,可见业界已掌握事态发展。
银行迟迟未肯招认遭骇客入侵,相信是为避免暴露其保安系统薄弱,损害客户信心;另外,由于业界相信骇客事件陆续有来,故尽量低调,避免在调查时打草惊蛇。
为增加银行业界对骇客事故的透明度,美国总统奥巴马上周五出席白宫举办的第一届网络安全及保护消费者峰会时,呼吁国会通过法案,规定银行必须公开所有危害个人及财务资料的事件。
