秒速飞艇 | 联系我们

秒速飞艇官网_秒速飞艇官网投注_秒速飞艇官网投注开户_【A爱彩】

当前位置:主页 > 产品展示 >

在 Carbanak 这行叫做“现金骡”(money mule)秒速飞艇

  2016 年 7 月 6 日,超级飓风尼伯特达到了强度巅峰。几乎笼罩了整个西北太平洋的热带气旋,即将于不久后肆虐台湾。

  排在他们前面的是两个俄国人。他们站在提款机前,并没有插入银行卡,也没有进行任何操作,只是站在那里,玩着手机。

  这让外面的人感到奇怪,但在当时没有人意识到,在尼伯特离去之际,却有另一场精心谋划的黑客风暴正在登陆台湾。

  而这两个被帽子和口罩遮住了脸的俄国人,即将犯下台湾历史上规模最大、影响最为恶劣的提款机劫案。

  紧接着,更令人惊讶的事情发生了:大量钞票突然从提款机里喷出。钞票很快飞满了狭窄的房间,在地面上堆了厚厚的一层……

  谢尔盖·别列佐夫斯基和弗拉基米尔·伯克曼,从地上快速地捞起钞票,疯狂塞进包中。没过多久,包就装满了。

  二人摸了摸帽子和口罩,快步离开了银行,和被他们惊到不敢出声的那对情侣擦身而过,钻进一辆黑色轿车,消失在雨中。

  后面的人开始报警。当他们靠近提款机,发现旁边的地上仍有俄国人未来得及装进包里的 6 万新台币钞票,和一张银行卡。

  通过监控录像,警察追踪别列佐夫斯基和伯克曼到了台北君悦酒店,结果发现他们早已退房离开。警察又通过车牌号追踪到桃园机场,发现俄国人已经在早上 7 点登上国泰航空的班机,经香港飞回了莫斯科。

  据台湾媒体,在超级飓风和黑客风暴同时席卷台湾的那个周末,共有 15 人通过同样的方式,洗劫了第一商业银行共 22 家分行和 41 台提款机,盗走了约 7,000 万新台币。

  《彭博商业周刊》则报称数额更大,达到8,300 万新台币,约合 270 万美元或人民币 1800 万元。

  为什么不插卡、不进行操作,甚至不用碰任何东西,就能让 ATM 机“自动吐钞”?为什么他们又胆敢盗走数额如此巨大的现钞,装箱子都要装好几箱,存不进银行,上飞机也带不走,又怎么回收?

  Carbanak 犯罪集团因其使用的软件闻名,软件最早的版本叫做 Anunak,主要攻击银行,通过劫持提款机来获益。

  2013 年,乌克兰的一家银行发生了第一起劫案,监控系统发现有人凌晨时间在提款机上,不用插卡也不用输密码就取走了大量的现金。

  和台湾人一样,乌克兰人最一开始也觉得是提款机被攻破了。银行请来了卡巴斯基,安全人员查看提款机,发现外观没有任何损坏,硬件没有被侵入,硬盘上也没有可疑记录。

  后来调查范围扩大到了银行内部员工,才发现了问题所在:有人打开了一个包含恶意软件的 Word 文档,而发送者伪装成了制造提款机公司。

  到了 2014 年,软件升级为 Carbanak,波及了乌克兰和俄罗斯的更多银行。

  到了 2016 年,Carbanak 又升级成了 Cobalt,不但可以扰乱提款机,还可以允许黑客直接调高账户余额,然后再去取钱、转账,或者用购买数字货币等方式洗钱。

  也正是因为它瞄准的是金融机构,和消费者关系不太大,所以在过去知名度并不高。

  但是在财务损失上,Carbanak 的杀伤力远超 WannaCry、索尼公司和电影资料库入侵、雅虎入侵、Target 信用卡遭窃等比较知名的漏洞/入侵事件。从 2013 年开始,Carbanak 犯罪集团已经入侵了全球超过 40 个国家的 100 家银行和金融机构,导致超过 12 亿美元失窃。

  和其他黑客攻击不同之处在于,Carbanak 攻击者不偷走东西然后要赎金,也不通过胁迫的方式达到商业或者政治目的,他们只偷钱,偷完就走。

  Carbanak 是一种非常古老的黑客侵入方式。它能够攻破银行,不是因为能够击败银行花费巨资建立的内部安全系统,而是在于银行内部的某个人疏忽了,点开了邮件里不该点开的那个按钮。

  也就是社会工程学。Carbanak 犯罪团伙伪造了一种合情合理的虚假情形,让银行员工以为自己的操作是正确的。而这是个相当漫长的过程。

  第一步:黑客伪装成合作伙伴,发给受害者包含宏/恶意软件的邮件,,或者要受害者点击某个链接、下载某个附件。

  受害者通常是银行或金融机构里面的职员,职位不需要很高,因为这样的话黑客就可以伪装成更高级别的上司,通过胁迫来取得效果。

  比如,黑客可以把自己的邮件名改成受害者上司的邮件地址,伪装成银行高管,谎称忘记了自己的账号密码,但要紧急转一笔账,要求员工提供自己的账号。

  第二步:当受害者完成了操作,病毒就感染了第一台肉鸡。通常情况下这台设备在办公网络里,而银行的内部系统安全程度能抵御外部攻击,对内部可信设备的防范可能没那么好。

  就这样一传十,十传百,最终内部大量其他设备感染病毒,很有可能波及核心系统,将高权限的设备和账户暴露给黑客。

  最初的邮件里包含的木马程序,只是开始,当系统被隐秘地贡献后,黑客就可以上传更多的恶意程序,实现更强大的控制。卡巴斯基发现,那家乌克兰银行的电脑,不但用户的键盘输入被记录下来,就连显示和摄像头都被控制,可以截图拍照机密内容,隐秘上传到黑客控制的服务器。

  如果是用最后两种办法,那么作案就需要一个团队了:有指挥者,有提供和实施技术的程序员,还得有最后把钱取走,风险也最大的地面人员,在 Carbanak 这行叫做“现金骡”(money mule)。通常这些地面人员一个自己的小团伙,跟一次行动里的其他成员分成。

  第四步:无论是电子转账,还是线下取现,黑客都需要把赃款洗干净,可以用常见的洗钱方法,比如赌博,也可以买车买房买股票,转换成数字货币是最简单的方式。

  Carbanak 犯罪集团选定目标银行,需要获得大量的资料,对目标理解至深,好让最初的钓鱼邮件显得很真实。他们需要找到哪个银行高管有足够高的权限,谁管转账,谁管哪个区域,提款机的通讯和加密方式是怎样的。

  从踩点,到发起一笔转账或者账户提额,或者去提款机取钱,花费的时间可能长达数个月。欧洲刑警的专家指出,Carbanak 劫案“精心策划、非常复杂,而且是全球性的。”

  全球级别的威胁需要全球级别的对策。据《彭博新闻周刊》报道,被波及的国家和地区的警方之间,共享了 Carbanak 劫案数据库。

  通过比对不同案件提取到的恶意软件的代码,调查人员追踪到了他们认为的 Carbanak 病毒原作者,居住在西班牙港口城市阿利坎特的丹尼斯·卡塔纳 (Denis Katana)。

  西班牙警方发现这个人有很多不正常的细节:比如,曾有被警方名单上的犯罪分子和他有过接触;他个人租用海外的服务器,通常运作跨境业务公司才会这样做;此人不会西班牙语,和老婆孩子一起住,没有什么社交,在监控期间一次都没有出去散心,尽管住地离海滩只有几个街区。

  随着长时间的监控,警方逐渐对卡塔纳有了更多的了解,确定了此人嫌疑甚大:他跟俄罗斯和乌克兰的伙伴有邮件往来,这个团伙之间有分工:有人负责发钓鱼邮件,有人负责在作案期间和之后清理记录。

  卡塔纳的职责比较关键,负责侦查银行,操纵资金流向,就像机场的空管一样,拥有全局视野,掌握信息和动向。

  在他的控制下,不同的人组成了多个团伙,先后攻击了各个国家的银行,成功率几乎百分之百。西班牙警方将卡塔纳形容成黑客界的纳达尔:“能像做他这些事情的,全世界没几个人。”

  监控期间,警方深入观察了 Carbanak 犯罪集团的一次技术升级。如果说过去的 Carbanak 软件是纯粹的恶意软件,那么新升级的 Cobalt 还是恶意软件,但是披了一层安全检查软件的外衣。

  打开缺口的还是钓鱼邮件,一次比一次更像官方的。现在团伙冒充的是金融监管机构,附件是一个号称能检测出系统里 bug 的软件,口径是强制银行运行。

  由于银行之间,特别是不同国家银行几乎没有安全方面的沟通,团伙就这样一家又一家地渗透,每家提大约 1200 万美元。高智商犯罪,大抵如此。

  就像黑客入侵利用的是社会工程学,靠的是银行员工的疏忽——团伙成员被捕,也是因为在反侦察上出了纰漏。

  在 2016 年台北的那起劫案中,直到别列佐夫斯基和伯克曼离开之前,计划都很稳妥。由于只有一晚的时间,他们没来得及处理赃款就离开了台北。

  仅仅五天之后,另外两名俄国人米哈伊尔·克里巴巴和尼古莱·潘科夫降落在桃园机场,出关后去了台北火车站,从行李寄存箱里取出了三个大箱子,然后在维多利亚酒店的房间里呆了整整一天。

  次日傍晚,二人前往酒店的餐馆享用晚餐,庆祝这次计划精妙的劫案正式成功,没想到刚走出餐馆,就直接被接到了警察局……

  这并不是一次万无一失的劫案,主要在于团伙低估了台北警方的侦查能力。根据不同地点提款机周围的监控,警方很容易地就在案发两天后找到了另一名携款的同伙,跟踪他到火车站,亲眼看着他把装着现钞的三个箱子放到行李寄存。

  警方开始了对火车站的监控,没过多久就发现了克里巴巴和潘科夫。现在他们正蹲在台北的监狱里,还有几年的刑期。

  台北的挫败给了 Carbanak 团伙警示:要补足人员的短板,必须再次提高入侵的技术水平。

  但是警察不想等了。今年三月,西班牙警方直接敲了门,卡塔纳无奈地投降,甚至没有任何反抗。螳螂捕蝉,总有黄雀在后。

  警察没收了电脑、汽车等财产,还在整理证据时发现了他这么多年的非法所得:15,000 枚比特币,自逮捕当时约合 1.6 亿美元,今天的价值仍高达 9,100 万美元。

  因为 Carbanak 并不是专利和独家的技术,在类似案件流行之后,它不可避免地随着作案人员的流动在黑客圈传播开来,不断复制、增生和变种。安全公司 FireEye 指出,已经侦测到 Carbanak 和 Cobalt 的变种病毒,很多团伙都在使用。

  问题在于原始团伙只是想用它来赚钱,而其他犯罪组织甚至国家机构却没这么“”。他们会将 Carbanak 及其变种用于更广泛的意图,从金融诈骗升级到经济犯罪,甚至政治上的敲诈。前年美国全国委员会遭俄罗斯黑客攻击,有一种说法就是采用的类似于 Carbanak 的方法。

  更糟糕的是,这种攻击方式在近几年的大起大落,让更多金融机构开始自危,寻找免疫和对抗的方式——这反而给了新的犯罪组织更多的机会。

  据《彭博商业周刊》报道,最近几周东欧的一些银行员工开始收到伪装成卡巴斯基的邮件,告知他们电脑已被入侵,需要下载附件免疫。而当员工打开附件时,整个网络就被变种的病毒感染了……

  就这样,低调的 Carbanak 继续肆虐着全球的银行、党团和政府机构们。史上最大黑客劫案,远未结束。

备案号:ICP备99863217号 网站地图 网站导航