Nie vždy ide o peniaze: Ako a prečo vykradnúť banku v dvadsiatom prvom storočí

, Business Insider Foto: thiinkstock

Hackeri sú stále náročnejší, útoky sú prepracovanejšie a odmeny sú oveľa väčšie ako inokedy.

V ostatnom čase ako by sa roztrhlo vrece s útokmi na banky. Národná banka Bangladéša sa stala cieľom vysoko sofistikovaného útoku, výsledkom bolo odcudzenie 81 miliónov dolárov, ale v hre bola miliarda. Skupina sa pokúšala vniknúť aj na účty bánk v Ekvádore, Vietname a na Filipínach, píše sa vo vyhlásení vyšetrovateľov.

Je postup vďka počítačom skutočne tak jednoduchý? Najskôr musíte získať heslá a prihlasovacie údaje a takmer všetko potrebné na získanie prístupu. Ale je tu jeden háčik: k údajom z centrálneho počítača banky sa neraz dostanete len ak ste priamo pri počítači.

Ako túto bezpečnostnú komplikáciu obísť? Napríklad tým, že do budovy banky pôjdete na formálnu udalosť pod falošnými zámienkami. Zašijete sa na toalete a keď je vzduch čistý, môžete sa v obleku so svojim laptopom bezpečne prechádzať po budove, nikomu to nebude nápadné, pokiaľ pôsobíte dojmom, že viete presne čo robíte. Stačí si nájsť prázdnu kóju, pripojiť svoj laptop, a získať prístup k centrálnemu počítaču. Ale to nie je ono, musíte ho nájsť, kde je fyzicky umiestnený.

Možno je ukrytý niekde v podzemí, to znamená, nebadane sa presunúť do priestorov, kde sa zamestnanci bežne nepohybujú. Už sa nedokážete maskovať tým, že budete viesť nezáväzné rozhovory s neznámymi akožekolegami. Narastá riziko, že sa dostanete do rúk ochranky. Pritom práve ľudia sú najslabším článkom celého reťazca. A neexistuje nič, ako by sa to dalo zmeniť.

"Je veľmi ťažké zabezpečiť spoločnosť, ktorá kašle na opravu systému, alebo má chyby kódovaní svojej webstránky, či iných aplikáciách, alebo je inak zraniteľná z vonkajšieho prostredia," hovorí Luke Hull, šéf bezpečnostné firmy, ktorá sa podieľala na vyšetrovaní bangladéšskeho bankového útoku. "Je to oveľa jednoduchšie spoľahnúť sa na niekoho v rámci organizácie, kto sa chytí a klikne na odkaz v e-mailoch, alebo na podvod iného druhu. A to sa práve deje. Dokážete tak získať prvotnú úroveň prístupu." Nakoľko sú zamestnanci vystavení hrozbe závisí na odhodlaní a sofistikovanosti útočníka. Na webe nie je problém nakúpiť hotové softvéry na infikovanie zamestnancov malwarom za asi 1400 doláorv. Ďalšou možnosťou je získanie spolupáchateľa vo vnútri organizácie, to ale predpokladá, že v stávke sú skutočne veľké peniaze. "Ak krádež dosiahne stovky miliónov dolárov, môžete si dovoliť mať svojho človeka vo vnútri organizácie, ktorý sa postará o všetko potrebné," hovorí Mikko Hypponen, výskumný pracovník z bezpečnostnej spoločnosti F-Secure pre Business Insider.

Potom, čo sa dostanete na nižšiu úroveň zabezpečenia, vyžaduje si to určité technické zručnosti. V prípade útoku v Bangladéši, predstavovala úroveň zabezpečenia tlačiareň, ktorá každú transakciu hodila na papier. "Vedeli, že dáta na počítačoch môžu byť sfalšované, ale ak je to raz na papieri, to sa už nedá zmeniť," vysvetlil Hypponen. "Útočníci vlastne obišli tlačiareň, aj tú jednoducho hackli“.

Útočníci sú ochotní stráviť podrobnou prípravou na akciu  mesiace. Presne ako vo filmoch. V snahe zaistiť cieľ prispôsobujú jednotlivé operácie tak, aby pôsobili podobne ako tie, ktoré využívajú finančné inštitúcie. Pracovné miesta sú niekedy inzerované v predstihu, s jasne definovanými rolami, vysvetľuje Luke Hull. Okrem technických pracovníkov sa hľadajú aj ľudia na rôzne úlohy v zákulisí, ktorí dokážu zvládnuť všetky podporné aktivity. Musia vedieť ako pracujú v banke ľudia na jednotlivých funkciách, zmapovať podnikovú štruktúru ako sa nenápadne infiltrovať. Úspešní útočníci nakoniec získajú platné používateľské účty a dostatočne podrobné informácie o tom, ako banka funguje.

V tomto bode sa musíte rozhodnúť, čo ďalej. Závisí  to od vašej motivácie. Či vás zaujíma hotovosť, alebo chcete získať prístup k systému peňažných prevodov banky. To znamená, že sa pokúsite poslať peniaze na účet na inom mieste. To bol prípad aj jedného z ostatných útokov, zameraný na sieť SWIFT, medzinárodný systém zasielania správ medzi bankami.

Ak sa podarí finančné prostriedky previesť, musí ešte hacker čo najdokonalejšie zahladiť stopy, aby mal čo najdlhší čas na útek, to je presne úloha tlačiarne v bangladéšskom útoku.

Ale to nie je jediný dôvod, prečo by ste mohli chcieť „heknúť“ banku. Medzi ďalšie útoky, do značnej miery sa na ne zameriavajú vládou podporovaní hackeri, patria tie s cieľom  operatívno –pátracím. Vo všetkých odvetviach je to okolo 45 % útokov, za ktorými stojí štát, povedal Hull na základe údajov z Mandiant. "Ak sa štát rozhodne pre útok na banku, som si istý, že má oveľa väčší záujem o veci, ako napríklad  kam banka prevádza peniaze, či má svoju vlastnú centrálnu banku, atď. To všetko je zber informácií, pričom tento druh informácií si vyžaduje dlhodobý prístup a zanechávanie čo najmenej stôp. Takže vlády pravdepodobne nebudú chcieť siahnuť na cudzie peniaze."

To by vysvetľovalo nezvyčajný útok v Bangladéši. Kód, ktorý po útoku hackeri po sebe zanechali, objavili už v roku 2014 v prípade Sony Pictures a rovnako bol použitý proti juhokórejským bankám a mediálnym  spoločnostiam. V oboch prípadoch padli obvinenia na Severnú Kóreu. Ak by za bankovým útokom stála aktivita Kim Čong-una, šlo by o svetové prvenstvo. Ak by sa to potvrdilo, "bol by to finančná útok, ktorým sa krajina snaží opraviť svoj rozpočet," hovorí Hypponen. "A bol by to unikát z dôvodu, že všetky tie tisíce národných a štátnych útokov za ostatných 15 rokov, každý jeden z nich, predstavoval buď špionáž alebo sabotáž. Kradli sa výhradne informácie. Bolo by to prvý raz v histórii, čo sa štát rozhodne pre kybernetický útok s cieľom ukradnúť peniaze."

Bloomberg uvádza, že vyšetrovatelia našli dôkazy o štátom podporovaných pakistanských hackeroch v bangladéšskej centrálnej banke. Ide o doteraz neidentifikovanú organizáciu, tretiu stranu, ktorá bola zodpovedná za skutočnú krádež finančných prostriedkov. Ak je táto hypotéza správna, znamenalo by to, že Severokórejčania zároveň prenikli do banky aj z výzvedných účelov. Kto sa teda skrýva za touto skupinou? Nepublikovaná správa Booz Allen Hamilton tvrdí, že ide o "filipínsko-čínskych podnikateľov, ktorí sa snažia ilegálnym výberom peňazí zvrhnúť vládu na Filipínach," povedal Mikko Hypponen. "Technický dôkaz na to nie je, ale podľa mňa je to celkom možné."

Ten, kto bol zodpovedný za bangladéšsky útok pravdepodobne ešte nepovedal posledné slovo. "Som si istý, že existujú aj iné prípady, o ktorých buď banky ani nevedia, alebo ktoré jednoducho neboli zverejnené," povedal Hypponen. "Tieto útoky boli zamerané na viac bánk než len na spomínané  štyri."

Väčšina útokov proti finančnými inštitúciami pravdepodobne zostanú nepovšimnuté, hovorí Luke Hull. "Prekvapilo by ma, ak by  banky odhalili väčšinu útokov. Mnohé z nich, ak sa ich nepodarí odchytiť hneď na začiatku, sa posunú ďalej vďaka škodlivým softvérom. Postupne začnú používať skutočné užívateľské účty, najskôr len tie v kancelárii, neskôr sa presunú aj na domáci počítač. Nakoniec využijú skutočné účty a presunú peniaze alebo niečo iné, cennejšie. V tomto okamihu je to už skôr o tom, ako zakročiť proti podvodom, než zvoliť včasný redizajn technického zabezpečenia banky."

Útoky sú sofistikovanejšie, už si trúfnu aj na centrálne systémy bánk. To tu doteraz nebolo. „Sledujeme túto oblasť kriminality už 15 rokov," pripomína Mikko Hypponen z F-Secure. "Väčšina útokov, prakticky všetky útoky proti bankám neboli voči centrálnym systémom bánk, zameriavali sa na zákaznícky systém. Je to logické vzhľadom k tomu, že banky sú veľmi dobre zabezpečené, na vlastné systémy minuli veľa peňazí, je dosť náročné tieto systémy prelomiť.  Je to uskutočniteľné, ale je to veľmi ťažké, oproti prelomeniu často triviálneho zákazníckeho systému banky. Samozrejme, že tak nedokážete ukradnúť milióny, ale ak máte tisíc obetí, a každú pripravíte o tisíc eur, dokopy to milión eur bude."

Firmy z istého sektora môžu útokmi trpieť viac, než iné. To sa ale v určitom bode mení. Zlom nastáva v momente, keď už tieto firmy aktualizujú svoje systémy do tej miery, že jeho prelomenie útočníkmi už nebude natoľko ziskové. Vtedy s najväčšou pravdepodobnosťou prejdú na iný sektor. "Vyberú si odvetvie, napadnú ho, oberú o peniaze ešte pred tým, než sa firmy rozhodnú investovať prostriedky do bezpečnosti ," povedal Hull. Hypponen k tomu dodal:  "boli sme svedkami veľkého prebudenia v automobilovom priemysle pred šiestimi rokmi vďaka Stuxnetu." Po bankovníctva, je tu ešte mnoho ďalších možností. Kto bude ten, kto sa prebudí najbližšie? Zistíme to už čoskoro. 

Súvisiace články

Aktuálne správy