高智商犯罪:银行超级大盗

台北风雨之夜的作案

2016年的一个夏日,台湾台北的夜幕刚刚降临,台风就要袭来。街道上风雨交加,市民们行色匆匆,不愿在外多做停留。然而,就在这样的夜晚,两个俄罗斯人却冒着瓢泼大雨,在市区闲逛。他们都带着鸭舌帽和遮面的口罩,看上去既不像是普通的游客,也不像是街头的混混,身份有些可疑。

在一家银行的自动取款机前,两人停了下来,徘徊了好一阵子,决定要排队取钱。在他们身后,还有一对同样来排队取钱的台北夫妇。没过多久,俄罗斯人来到了自动取款机面前,令人惊讶的一幕发生了:在没有人触碰、操作自动取款机的情况下,大量的现金突然从取款机内喷出,飞满了狭窄的ATM室,在地面上堆了厚厚一层。这样的怪事让后面的台北夫妇看傻了,但俄罗斯人一点都不惊讶,他们拿出背包,快速捡捞钞票,装满后,在台北夫妇惊讶的目光中,钻进一辆黑色轿车,消失在雨夜。

其实,两个俄罗斯人并不是来台北挥霍积蓄、想要一夜狂欢的游客,而是盗取银行资金的黑客犯罪集团的成员。他们在台风夜中,因为后面排队的台北夫妇的举报,终于被警方盯上了。尾随的警方跟踪他们来到台北的某个车站,看着他们将装满钞票的背包放在了车站的存储柜。不多久,又有两个俄罗斯人出现了,他们打开存储柜,拎包走人,去往一家酒店。第二天晚上,警方终于出手,将两人一举抓获。经过审讯,警方得知,这次来台北作案的犯罪成员共有15人,统统来自一个叫做“卡巴纳克”的组织。就在昨天那个风雨交加的夜晚,15人从台北的40多个自动取款机中,盗取了8000多万元新台币,约合1700万元人民币。

虽然抓获两人,但警方还是慢了一步,另外13人早已乘机飞回莫斯科了。台北自动取款机现金被盗的案件,立刻引起了世界范围内各个银行和各国警方的注意,因为这表明,“卡巴纳克”——这个从2013年起就一直在全世界活动的黑客集团,仍然还在犯罪,仍然还在困扰着世界金融的安全。

专家苦寻线索

“卡巴纳克”犯罪集团因其使用的“Carbanak”木马而得名,这个木马更早的版本叫做“Anunak”,专门用于攻击银行的自动取款机来盗取现金。

2013年,乌克兰的一家银行发生了第一起这样的案件。银行的监控系统发现,凌晨时分,有人在自动取款机前,既不插卡也不输密码就取走了大量现金,但是,从账面上来看,银行并没有少什么钱,也没有任何客户举报丢钱了。银行高管不知道出了什么问题,于是请来卡巴斯基实验室的安全专家,希望他们能帮助银行检查一下是否有程序漏洞。

最初,安全专家怀疑是黑客用一些手持设备干扰了自动取款机,使得它的程序发生紊乱,从而向外吐钱。然而,对自动取款机做了一番检查后,安全专家发现自动取款机没有任何损坏,软件没有被侵入,硬盘上也没有可疑记录。后来,银行将调查范围扩大到了银行内部员工,才发现了问题所在。

木马大盗现形

不知什么时候,银行员工开始频繁收到一些包含恶意木马的广告邮件,邮件是以“自动取款机供应商”的名义发出的。银行员工如果疏忽大意,就会很轻易的点开邮件,因为很多邮箱服务都默认不显示邮箱地址,只显示发件人的名称(比如某某自动取款机供应商),不够警惕的员工会很容易上当。在员工查看邮件的同时,木马就会自动下载,开始感染员工的电脑。这个木马能够收集员工电脑上已有的数据,甚至能够控制电脑的摄像头,捕捉截图,记录电脑的浏览历史。就这样,木马开始从银行员工电脑里窃取机密数据,并将这些信息转发给黑客控制的服务器。

在收集和分析工作都完成后,时机已经成熟,黑客利用盗取的信息掌握了银行员工的许多权限,就可以达成许多目的。比如,凭空创造虚假的账户和不存在的虚假交易,提升现有账户的余额,然后将钱取出来,让最终账户的数据和原始数据保持一致,这样,光是从账面上来看,就不会有人发现钱少了。又比如,得到钱的更简单的方法就是,黑客远程控制银行,给自动取款机发指令,让其吐出现钞。如果是使用后一种方法,那么作案就需要一个团队了:需要行动的指挥者,需要提供和实施技术的程序员,还需要最后把钱取走、风险也最大的取钱人员(比如被台北警方抓获的俄罗斯人)。

当然,无论制作虚假账户,还是线下取钱,犯罪者都需要把赃款洗干净。他们可以用常见的方法来洗钱,比如赌博、买车、买房、买股票,或者将赃款转换成数字货币。从选定银行目标、盗取数据到踩点取钱、洗钱善后,一次完整的行动花费的时间可能长达数月,需要科技开路、精心策划——这样的行为,算得上是典型的高科技犯罪手法了。

警方展开全球打击

从2013年起,银行与“卡巴纳克”黑客集团的战争就展开了。

2014年秋天,在卡巴斯基实验室的提议下,欧洲银行网络安全小组与花旗银行、德意志银行以及其他跨国大银行召开了针对“卡巴纳克”的会议。卡巴斯基实验室的专家在欧洲刑警组织总部的会议室里,向这些银行介绍了乌克兰案件的始末,呼吁大家联合起来对付“卡巴纳克”。

于是,银行技术人员们建立了实验室,分析了“卡巴纳克”的恶意木马,想办法追踪木马的最初来源,以及到底都被谁使用过。这时,银行高管们才第一次真正意识到“卡巴纳克”的可怕。2014年,全世界已经有超过40个国家、100多家银行的信息系统中发现了“卡巴纳克”木马痕迹。这个黑客集团,已经从这100多家银行和私人账户中,盗取了超过12亿美元的资金。这无疑是有史以来最大的银行抢劫案了。更糟糕的是,卡巴纳克还在继续偷盗,银行损失的资金还在增加。

事态严重,警方的调查和打击却一直都进展艰难,因为“卡巴纳克”不停地更新换代升级,2016年,“Carbanak”木马升级到第三代——“Cobalt”,更加隐蔽。不过,警方慢慢意识到,不管木马的能耐有多大,最后取钱还是需要犯罪集团中的成员亲力亲为——这些取钱的人便是破案的突破点。台北案件之后,2017年初,西班牙马德里市发生一起类似案件,黑客从自动取款机拿走了400万美元。欧洲警方根据监控录像顺藤摸瓜,打探消息,终于在2018年初抓获了“卡巴纳克”集团非常重要的一名黑客。

被抓捕的黑客名叫丹尼斯·卡塔纳,是乌克兰人,他“经营”着一个四人组的小型偷盗团队:一人负责向银行发送木马,一人负责窃取银行数据库资料,一人负责消除犯罪的“痕迹”,而卡塔纳本人负责统筹全局。通过偷盗,卡塔纳在异国他乡过着天堂般的日子,除了拥有一栋豪宅、两辆豪车、一堆珠宝外,还掌握着价值1亿多美元的比特币。然而,在缴获的离岸服务器中,警方发现了卡塔纳大量的犯罪证据,后者不得不认罪。不过,卡塔纳供认,“卡巴纳克”集团是全球性的犯罪组织,还有很多黑客根本不认识卡塔纳,卡塔纳也不认识他们。所以,银行和“卡巴纳克”黑客集团的战争仍在继续,警方还要继续努力。