【亞太日報訊】像被虹吸管一樣從紐約聯邦儲備銀行抽走的幾千萬美元。菲律賓一批影影綽綽的賭場。孟加拉一家技術陳舊的大型銀行。一幫不知姓名、或許無法抓獲、同時又掌握了精妙的黑客技能的竊賊。
連接這些稀奇的元素、使得有史以來最明目張膽的一宗數字銀行劫案得以實現的是一個無處不在、備受信任的國際性銀行通訊系統,它的名字叫SWIFT。
SWIFT的全稱是環球銀行間金融通信系統(the Society for Worldwide Interbank Financial Telecommunication)。它被標榜為一套超級安全的系統,銀行用它來授權從一個賬戶向另一個賬戶進行支付。一位金融分析師說:“它就是支付系統領域的勞斯萊斯。”
但上周,自從今年2月黑客首次從孟加拉央行掠走了8100萬美元(約合5.26億元人民幣)之後,SWIFT承認,這幫竊賊曾經偷偷鑽進全球銀行系統跳動的心髒地帶,嘗試對這個網絡裡的其他銀行實施類似的盜竊。
金融咨詢公司Celent支付分析師蓋瑞斯•洛基(Gareth Lodge)說:“此時此刻,許多銀行都在說,‘幸虧上天保佑。’”
SWIFT承認這起黑客攻擊並不是發生在某個發展中國家的一起孤立事件,而有可能是某種廣泛存在的威脅的一部分,因此把自己推向了關注的焦點,引發了關於資金在全球流通的安全性到底有多高的質疑。一些金融安全專家指出,SWIFT的安全程度取決於它最薄弱的一環。
多年來,數字犯罪分子一直在破壞個人銀行賬戶,竊取信用卡證書,而這起黑客攻擊事件表明,他們正在變得越來越復雜。孟加拉盜提案中的竊賊或許在該國央行的計算機中潛伏了數月,研究如何竊取必要的證書,獲得SWIFT的許可。
防衛及安全公司BAE Systems網絡威脅信息團隊負責人亞德裡安•尼什(Adrian Nish)說,它就是電影《十一羅漢》(Ocean’s Eleven)中描繪的竊案在數字領域的真實版本。
尼什說:“趨勢在於,他們已經從機會主義的犯罪轉向了好萊塢式的大規模攻擊。”他的公司已經分析過據信是孟加拉盜提案中使用過的惡意軟件。
在美國,大多數銀行都對自己的SWIFT計算機采取特別的預防措施,建設多重防火牆來把這套系統和銀行的其他網絡隔離開來,同時還把這些計算機單獨放置在上鎖的獨立辦公室裡。
但在其他地方,一些銀行采取的預防措施少得多。分析過這起SWIFT安全事故的安全專家們稱,他們的結論是,孟加拉央行或許格外容易受到攻擊。
“SWIFT是一個了不起的組織,”旨在加快全球資金交易速度的金融技術公司Ripple創始人克裡斯•拉爾森(Chris Larsen)說,“但這套系統支離破碎,而且已經過時。根據它的建立方式,沒辦法把一個像孟加拉這樣的地方出現的問題和它的整個網絡完全割裂開來看待。”
一定程度上,SWIFT曾經見證了科技通過怎樣的方式幫助所有國家、包括貧窮國家接入金融系統。但擴大金融系統的覆蓋面同樣也帶來了一個弊端。
據稱,孟加拉央行針對網絡攻擊采取的保護措施比其他許多大型銀行都要少。比如,據媒體報道,這家銀行使用的是10美元的廉價路由器,沒有安裝防火牆。
孟加拉央行使用的服務器軟件是SWIFT一款叫做Alliance Access的產品,用它來把各家銀行和中央信息系統連接起來。SWIFT組織為了顯示自己對Alliance Access失守事件的重視,上周發布了“強制性的軟件升級”,幫助成員發現可能的異常現像。
“這些黑客發現,這是外圍的一個軟肋,於是就對它下手了,”交易集團全球風險管理協會(the Global Association of Risk Professionals)主編傑弗瑞•庫特勒(Jeffrey Kutler)說,“但他們沒有能力破壞核心。”
SWIFT的核心賴以建立的基礎是已經演進了幾十年的技術。它1973年起步的時候只是歐洲和北美240家銀行一個相對較小的網絡,但現在已經成了一個龐大的網絡,擁有11000名用戶,其中既包括銀行,又包括大公司。但它現在同樣也用於涉及國內支付、證券結算以及其它交易的信息交換。SWIFT近年來的發展(今年3月,它的指令信息創造了歷史記錄)反映了金融日益突出的全球化本質和相互關聯的本質。但它同時也暴露了這麼多金融機構僅僅通過單一某一個由網絡防護水平參差不齊的銀行和公司拼湊而成的系統來運行所具有的風險。
SWIFT網絡中的每一家銀行的身份都通過一套代碼來識別。紐約聯邦儲備銀行正確無誤地識別了分配給孟加拉央行的代碼,隨後把孟加拉這家銀行的8100萬美元轉給了那幫菲律賓人,但它並不知道某個地方有人在此之前已經竊取了孟加拉這家銀行的證書,還安裝了惡意軟件來掩蓋自己的行跡。
起初,竊賊發出的請求是要求將9.51億美元轉賬到位於斯裡蘭卡和菲律賓的幾個銀行賬戶。這個金額促使紐約聯邦儲備銀行要求孟加拉央行確認,是否確實希望轉移這筆錢。
最終,因為無法與孟加拉官員確認,紐約聯邦儲備銀行只處理了詐騙分子35%的支付請求。
黑客們發起攻擊的時機把握得很完美:紐約聯邦儲備銀行的官員們嘗試聯系孟加拉方面的時候,正值當地的周末,根本沒人工作。等到孟加拉中央銀行的工作人員發現欺詐行為,此時又到了紐約的周末,聯邦儲備銀行辦公室已經關門。
為了掩蓋罪行,惡意軟件關閉了孟加拉央行的一台打印機,阻止銀行官員們查閱盜提交易的日志。
這筆錢轉到了菲律賓的多個賬戶,隨後進入了菲律賓的賭場系統,而後者不受菲律賓許多反洗錢要求的約束。
紐約聯邦儲備銀行因為讓這8100萬美元溜走一直飽受批評。美國金融服務委員會(the Financial Services Committee)成員、紐約民主黨眾議員卡羅琳•B•馬隆尼(Carolyn B. Maloney)呼吁發起一項調查,警告稱這起事件“威脅了外國央行對美國聯邦儲備銀行以及國際貨幣交易安全性和穩健性的信心”。
紐約聯邦儲備銀行在一份聲明中稱,“沒有證據顯示美聯儲的任何系統遭到了破壞。”而且這筆資金轉賬獲得了SWIFT“充分的認證”。
同時,一直以自己的保密性和低調的公眾形像為榮的SWIFT也針對攻擊事件發布了一份聲明。但SWIFT高管拒絕就這起仍然處於調查階段的事件正式發表評論。SWIFT主席、花旗集團(Citigroup)高管亞瓦爾•沙阿(Yawar Shah)同樣拒絕發表評論。
SWIFT在聲明中強調,涉案的黑客們只是有能力突破一部分通過SWIFT通信的銀行,而不是SWIFT網絡本身。
SWIFT稱:“我們看到的共同之處在於,(內部或者外部)的黑客們成功地突破了銀行自身的環境。”
即使孟加拉央行的官員們已經采取了最高級別的安全措施,竊賊依然展現了高水平的技巧、計謀以及決心,有可能有能力突破安全程度高得多的系統。
“如果有黑客真的想闖進來,而且知道裡面有一大筆獎賞,”尼什說,“從長遠來說,要想把他們擋在外面真的很困難。”