高智商犯罪的銀行大盜

臺北風(fēng)雨之夜的作案

2016年的一個夏日，臺灣臺北的夜幕剛剛降臨，臺風(fēng)就要襲來。街道上風(fēng)雨交加，市民們行色匆匆，不愿在外多做停留。然而，就在這樣的夜晚，兩個俄羅斯人卻冒著瓢潑大雨，在市區(qū)閑逛。他們都帶著鴨舌帽和遮面的口罩，看上去既不像是普通的游客，也不像是街頭的混混，身份有些可疑。

在一家銀行的自動取款機(jī)前，兩人停了下來，徘徊了好一陣子，決定要排隊(duì)取錢。在他們身后，還有一對同樣來排隊(duì)取錢的臺北夫婦。沒過多久，俄羅斯人來到了自動取款機(jī)面前，令人驚訝的一幕發(fā)生了：在沒有人觸碰、操作自動取款機(jī)的情況下，大量的現(xiàn)金突然從取款機(jī)內(nèi)噴出，飛滿了狹窄的ATM室，在地面上堆了厚厚一層。這樣的怪事讓后面的臺北夫婦看傻了，但俄羅斯人一點(diǎn)都不驚訝，他們拿出背包，快速撿撈鈔票，裝滿后，在臺北夫婦驚訝的目光中，鉆進(jìn)一輛黑色轎車，消失在雨夜。

其實(shí)，兩個俄羅斯人并不是來臺北揮霍積蓄、想要一夜狂歡的游客，而是盜取銀行資金的黑客犯罪集團(tuán)的成員。他們在臺風(fēng)夜中，因?yàn)楹竺媾抨?duì)的臺北夫婦的舉報(bào)，終于被警方盯上了。尾隨的警方跟蹤他們來到臺北的某個車站，看著他們將裝滿鈔票的背包放在了車站的存儲柜。不多久，又有兩個俄羅斯人出現(xiàn)了，他們打開存儲柜，拎包走人，去往一家酒店。第二天晚上，警方終于出手，將兩人一舉抓獲。經(jīng)過審訊，警方得知，這次來臺北作案的犯罪成員共有15人，統(tǒng)統(tǒng)來自一個叫做“卡巴納克”的組織。就在昨天那個風(fēng)雨交加的夜晚，15人從臺北的40多個自動取款機(jī)中，盜取了8000多萬元新臺幣，約合1700萬元人民幣。

雖然抓獲兩人，但警方還是慢了一步，另外13人早已乘機(jī)飛回莫斯科了。臺北自動取款機(jī)現(xiàn)金被盜的案件，立刻引起了世界范圍內(nèi)各個銀行和各國警方的注意，因?yàn)檫@表明，“卡巴納克”——這個從2013年起就一直在全世界活動的黑客集團(tuán)，仍然還在犯罪，仍然還在困擾著世界金融的安全。

專家苦尋線索

“卡巴納克”犯罪集團(tuán)因其使用的“Carbanak”木馬而得名，這個木馬更早的版本叫做“Anunak”，專門用于攻擊銀行的自動取款機(jī)來盜取現(xiàn)金。

2013年，烏克蘭的一家銀行發(fā)生了第一起這樣的案件。銀行的監(jiān)控系統(tǒng)發(fā)現(xiàn)，凌晨時分，有人在自動取款機(jī)前，既不插卡也不輸密碼就取走了大量現(xiàn)金，但是，從賬面上來看，銀行并沒有少什么錢，也沒有任何客戶舉報(bào)丟錢了。銀行高管不知道出了什么問題，于是請來卡巴斯基實(shí)驗(yàn)室的安全專家，希望他們能幫助銀行檢查一下是否有程序漏洞。

最初，安全專家懷疑是黑客用一些手持設(shè)備干擾了自動取款機(jī)，使得它的程序發(fā)生紊亂，從而向外吐錢。然而，對自動取款機(jī)做了一番檢查后，安全專家發(fā)現(xiàn)自動取款機(jī)沒有任何損壞，軟件沒有被侵入，硬盤上也沒有可疑記錄。后來，銀行將調(diào)查范圍擴(kuò)大到了銀行內(nèi)部員工，才發(fā)現(xiàn)了問題所在。

木馬大盜現(xiàn)形

不知什么時候，銀行員工開始頻繁收到一些包含惡意木馬的廣告郵件，郵件是以“自動取款機(jī)供應(yīng)商”的名義發(fā)出的。銀行員工如果疏忽大意，就會很輕易的點(diǎn)開郵件，因?yàn)楹芏噜]箱服務(wù)都默認(rèn)不顯示郵箱地址，只顯示發(fā)件人的名稱（比如某某自動取款機(jī)供應(yīng)商），不夠警惕的員工會很容易上當(dāng)。在員工查看郵件的同時，木馬就會自動下載，開始感染員工的電腦。這個木馬能夠收集員工電腦上已有的數(shù)據(jù)，甚至能夠控制電腦的攝像頭，捕捉截圖，記錄電腦的瀏覽歷史。就這樣，木馬開始從銀行員工電腦里竊取機(jī)密數(shù)據(jù)，并將這些信息轉(zhuǎn)發(fā)給黑客控制的服務(wù)器。

在收集和分析工作都完成后，時機(jī)已經(jīng)成熟，黑客利用盜取的信息掌握了銀行員工的許多權(quán)限，就可以達(dá)成許多目的。比如，憑空創(chuàng)造虛假的賬戶和不存在的虛假交易，提升現(xiàn)有賬戶的余額，然后將錢取出來，讓最終賬戶的數(shù)據(jù)和原始數(shù)據(jù)保持一致，這樣，光是從賬面上來看，就不會有人發(fā)現(xiàn)錢少了。又比如，得到錢的更簡單的方法就是，黑客遠(yuǎn)程控制銀行，給自動取款機(jī)發(fā)指令，讓其吐出現(xiàn)鈔。如果是使用后一種方法，那么作案就需要一個團(tuán)隊(duì)了：需要行動的指揮者，需要提供和實(shí)施技術(shù)的程序員，還需要最后把錢取走、風(fēng)險(xiǎn)也最大的取錢人員（比如被臺北警方抓獲的俄羅斯人）。

當(dāng)然，無論制作虛假賬戶，還是線下取錢，犯罪者都需要把贓款洗干凈。他們可以用常見的方法來洗錢，比如賭博、買車、買房、買股票，或者將贓款轉(zhuǎn)換成數(shù)字貨幣。從選定銀行目標(biāo)、盜取數(shù)據(jù)到踩點(diǎn)取錢、洗錢善后，一次完整的行動花費(fèi)的時間可能長達(dá)數(shù)月，需要科技開路、精心策劃——這樣的行為，算得上是典型的高科技犯罪手法了。

警方展開全球打擊

從2013年起，銀行與“卡巴納克”黑客集團(tuán)的戰(zhàn)爭就展開了。

2014年秋天，在卡巴斯基實(shí)驗(yàn)室的提議下，歐洲銀行網(wǎng)絡(luò)安全小組與花旗銀行、德意志銀行以及其他跨國大銀行召開了針對“卡巴納克”的會議?？ò退够鶎?shí)驗(yàn)室的專家在歐洲刑警組織總部的會議室里，向這些銀行介紹了烏克蘭案件的始末，呼吁大家聯(lián)合起來對付“卡巴納克”。

于是，銀行技術(shù)人員們建立了實(shí)驗(yàn)室，分析了“卡巴納克”的惡意木馬，想辦法追蹤木馬的最初來源，以及到底都被誰使用過。這時，銀行高管們才第一次真正意識到“卡巴納克”的可怕。2014年，全世界已經(jīng)有超過40個國家、100多家銀行的信息系統(tǒng)中發(fā)現(xiàn)了“卡巴納克”木馬痕跡。這個黑客集團(tuán)，已經(jīng)從這100多家銀行和私人賬戶中，盜取了超過12億美元的資金。這無疑是有史以來最大的銀行搶劫案了。更糟糕的是，卡巴納克還在繼續(xù)偷盜，銀行損失的資金還在增加。

事態(tài)嚴(yán)重，警方的調(diào)查和打擊卻一直都進(jìn)展艱難，因?yàn)椤翱ò图{克”不停地更新?lián)Q代升級，2016年，“Carbanak”木馬升級到第三代——“Cobalt”，更加隱蔽。不過，警方慢慢意識到，不管木馬的能耐有多大，最后取錢還是需要犯罪集團(tuán)中的成員親力親為——這些取錢的人便是破案的突破點(diǎn)。臺北案件之后，2017年初，西班牙馬德里市發(fā)生一起類似案件，黑客從自動取款機(jī)拿走了400萬美元。歐洲警方根據(jù)監(jiān)控錄像順藤摸瓜，打探消息，終于在2018年初抓獲了“卡巴納克”集團(tuán)非常重要的一名黑客。

被抓捕的黑客名叫丹尼斯·卡塔納，是烏克蘭人，他“經(jīng)營”著一個四人組的小型偷盜團(tuán)隊(duì)：一人負(fù)責(zé)向銀行發(fā)送木馬，一人負(fù)責(zé)竊取銀行數(shù)據(jù)庫資料，一人負(fù)責(zé)消除犯罪的“痕跡”，而卡塔納本人負(fù)責(zé)統(tǒng)籌全局。通過偷盜，卡塔納在異國他鄉(xiāng)過著天堂般的日子，除了擁有一棟豪宅、兩輛豪車、一堆珠寶外，還掌握著價值1億多美元的比特幣。然而，在繳獲的離岸服務(wù)器中，警方發(fā)現(xiàn)了卡塔納大量的犯罪證據(jù)，后者不得不認(rèn)罪。不過，卡塔納供認(rèn)，“卡巴納克”集團(tuán)是全球性的犯罪組織，還有很多黑客根本不認(rèn)識卡塔納，卡塔納也不認(rèn)識他們。所以，銀行和“卡巴納克”黑客集團(tuán)的戰(zhàn)爭仍在繼續(xù)，警方還要繼續(xù)努力。