您现在的位置是:首页 > IT基础架构 > 网络与安全 >
黑客洗劫Western Beaver的金融机构ESB银行
2009-08-21 20:58:00作者:阿风 编译 来源:
摘要??罪犯们有意识地攻击了Western Beaver County School District。 ...
??罪犯们有意识地攻击了Western Beaver County School District。
他们一直等到学校行政人员去度假才下手,然后在12月29日到1月2日这4天时间内从两个学区的银行账户内取走了704,610.35美元。Western Beaver的金融机构,ESB银行,设法挽回了一些损失,但宾夕法尼亚州学区损失了超过441,000美元。
7月9日,Western Beaver起诉ESB,试图讨回这笔钱,但安全专家说这只是近几个月诸多令人不安的新型金融诈骗案中的一起,受害人最后常常得自己吞下苦果。
犯罪分子利用广泛使用却鲜有人重视的自动清算中心(Automated Clearing House, ACH)来发起攻击。金融机构使用这个金融网络来处理直接存款,支票,帐单支付以及企业和个人之间的现金转移。
据休斯顿纪事报报道,今年4月,ACH欺诈分子从得克萨斯州舒格兰区(Sugar Land, Texas)一家名为Unique Industrial Products的进口商的账户里转走了120万美元。他们侵入该公司的计算机,并且进行了39笔转账把资金从Unique Industrial的账户里转移了出去。虽然大部分的资金后来被追回,但诈骗者还是从这次攻击中获取了15万美元赃款,30分钟的忙活能挣上这么多钱可是相当划算了。
“ACH欺诈还在继续增长,特别是在目前这种经济不景气,失业率居高不下的情况下,”Jeffery Dertz表示。他是Blackman Kallick在安全实践小组的合作伙伴,后者是一家总部设在芝加哥的会计和咨询公司。
调查人员说犯罪分子通过ACH欺诈,一天可以牟利上百万美元。在面对这类欺诈时,消费者是受到法律保护的,但是对于公司和组织来说,就没有那么多明确的法规保护了,所以有时候像Western Beaver这样的受害者就只能吃哑巴亏了。
欺诈通常由有针对性的钓鱼式攻击电子邮件开始,目标是掌管着公司的财务大权的人。通过诱骗受害人运行软件,打开一个有害的附件或访问一个恶意网站,犯罪分子就能够安装击键记录软件从而盗取银行帐户密码。
“要是我能控制他们的证书,那我就有事可干了,”Robert West如是说。他是Fifth Third Bank的前首席信息安全官,现在是安全情报顾问机构Echelon One的首席信息官。他认同ACH欺诈正日益严重的说法。
Western Beaver的律师Alfred Steff拒绝对此作出评论,但在县法院提交的文件里显示,骗子利用计算机病毒侵入了校董会的计算机系统。
恶意软件往往在浏览器内伺机而动,等待受害者登录到银行的网站就立即行动。当受害者随后登录进去时,该软件就创建新的受款人并把向他们转钱--一旦受害人的帐户被黑客入侵,攻击者要做的就是一个代号以及一个账户号来给钱骡(money mule)发送现金。如果必须两个人都签署才能转让,黑客就会两个一起攻击。
钱骡其实也是受害者。他们通常会以为是在给跨国公司做合法的财务工作。在类似Monster.com这样的网站上被聘用后,他们被告知把资金转移到国外后他们能得到5个百分点的回报。而一旦银行撤销交易,他们就得赔偿。
一些安全专家认为,钱骡给追查带来的困难正是使得现在这种欺诈数量暴涨的原因。安全厂商Trusteer估计,百分之三的用者已经感染了金融欺诈软件。“难就难在从帐户里搞到钱。” Trusteer的首席技术官Amit Klein说。
一位正在办案的不愿透露姓名的调查人员说,这类欺诈能盛行的部分原因是因为欺诈性的ACH活动没有触发给银行的红色警报,尤其是涉及到一些小的地方银行的时候。“现在问题很严重”他对ACH欺诈的现状表示担忧。“这是一个非常古老的系统,底层的传输系统里可能没有多少可控制的。 ”
像Western Beaver这起案件中,就应该有红色警报发出。因为突然在圣诞休假期增加了42个远在加利福尼亚州和波多黎各的领工资的人,而且向他们支付的金额远远超过了其它大多数人。根据法庭档案,ESB 4天之内收到了74个转账申请,这也是应该亮起红色警报的。
在这起诉讼中,Western Beaver指控它的银行(ESB)没有对未许可的请求发出警报。ESB银行发言人还没有就此发表评论。
银行很难发现伪造的ACH交易量的原因之一,是因为通过网络转移的资金量相当巨大。2002年ACH网络处理了接近90亿起支付,总金额超过24万亿美元。“在我所工作过的这些银行里,我们在一两天内流过的资金量就相当于自己的净资产, ”West说。
Mary Gilmeister是一家为金融机构提供与ACH相关信息的非盈利性机构WACHA的主席,据她所说,虽然ACH欺诈有利可图,但是并未泛滥成灾。”“这一现象非常重要,但它现在并没有对大量金融机构造成影响, ”她说。“金融机构现在会更密切地关注它,”保持相互沟通并在有欺诈行为发生时发出警告。
对于那些遭遇ACH骗局帐户被洗劫一空了的用户,联邦银行条例规定只要及时报告,就只需承担50美元的责任。但是,对于企业和其他团体来说,就不是这么简单了,到底受害人是不是要自掏腰包要视银行的具体情况而定。
这一切可能严重降低公众对网上银行的信任,调查人员说: “我们现在所讨论论的小企业是美国的生命线,他们因为使用了网上银行而面临着损失五六位数资金的危险。 ”(责编:tina)
(本文不涉密)
责任编辑: