Thứ Năm | 16/05/2013 15:32

Làm thế nào để đánh cắp 14 triệu USD từ ngân hàng?

Câu chuyện tưởng chừng khó khăn đã được một chuyên gia về hệ thống an ninh ngân hàng Mỹ giải quyết với chỉ 4 bước đơn giản.
Đầu năm 2010, Nish Bhalla ngồi bên máy tính của mình với mục tiêu đánh cắp một số tiền lớn từ ngân hàng.

Đây không phải là một vụ cướp thông thường. Bhalla là giám đốc điều hành của Security Compass, một công ty kiểm tra hệ thống an ninh của các ngân hàng, hãng bán lẻ, công ty năng lượng và các tổ chức khác có các số liệu nhạy cảm. Khách hàng của Bhalla, bao gồm cả chi nhánh ngân hàng tại Mỹ mà ông nhắm làm mục tiêu tấn công năm 2010, trả tiền để ông đột nhập vào hệ thống của họ.

Chuyện này dễ dàng hơn suy nghĩ của hầu hết mọi người. Nhóm trộm lên trang nhất các báo tuần trước vì đánh cắp 45 triệu USD từ ngân hàng đã sử dụng cách tấn công tương tự để "tạo ra" tiền từ bất cứ đâu.

Bhalla qua câu chuyện của mình đã tiết lộ với CNNMoney bốn bước dễ dàng để trở thành một triệu phú.

Bước một, tiếp cận truy cập. Bhalla đã có một lợi thế lớn so với những tên trộm thực sự: Khách hàng của ông cho phép ông tiếp cận với mạng lưới nội bộ của ngân hàng. Với những kẻ gian thật sự, có một vài cách dễ dàng đến kinh ngạc để tiếp cận được.

Có thể truy cập vào một số nơi đơn giản bằng cách đăng nhập vào mạng không dây (wifi) của ngân hàng - một tiện ích mà ngày càng nhiều ngân hàng cung cấp như một dịch vụ cho khách hàng. Một khi đang sử dụng wifi của ngân hàng, các mạng nội bộ và bên ngoài thường không đủ tách biệt. Hoàn toàn có thể đánh lừa các máy tính khác của ngân hàng rằng máy tính của bạn cũng là một mánh tính ngân hàng, quá trình được gọi là "giả mạo arp".

Một cách kết nối khác: Ai đó như là một người gác cổng có thể cắm một ổ USB vào hệ thống của nhân viên giao dịch, khởi động lại nó với một hệ điều hành mới, cho phép họ tiếp cận với ổ cức của hệ thống của nhân viên giao dịch. Từ đó, tên người dùng và mật khẩu dễ dàng hiện ra.

Bởi ông có thể đơn giản truy cập thẳng vào hệ thống của khách hàng, Bhalla và các trợ lý của mình bỏ qua bước tiếp cận vật lý và đi thẳng tới việc tìm kiếm tiền.

Bước hai, bắt đầu khám phá. Bhalla sử dụng phần mềm "đánh hơi", dễ dàng tìm thấy trên mạng Internet, để tìm ra cách mà các hệ thống của ngân hàng kết nối với nhau.

Sau đó, ông đẩy lượng lớn thông tin vào các hộp chuyển mạch (switches) - các hộp nhỏ truyền thông tin trực tiếp - để khiến mạng lưới nội bộ của ngân hàng quá tải thông tin. Đây là một kiểu tấn công biến các hộp chuyển mạch thành các "trung tâm" truyền dữ liệu ra ngoài một cách bừa bãi.

Các máy mà nhân viên giao dịch sử dụng nhanh chóng trở thành mục tiêu chính của Bhalla. Một lần nữa, các phần mềm đánh hơi đã được cài đặt để tìm thông tin truy cập và mật khẩu trong vô số dữ liệu. Cuối cùng, ông có thể truy cập vào trong máy của nhân viên giao dịch.

Bước ba, di chuyển dần lên các cấp. Thật kinh ngạc, thông tin được chuyển giữa các máy tính của các nhân viên giao dịch và cơ sở dữ liệu chính của chi nhánh ngân hàng không được mã hóa. Điều đó nghĩa là mật khẩu và số tài khoản ngân hàng đều phơi bày.

Bước bốn, tiền mặt. Thay vì trộm tiền từ các tài khoản tiền gửi, Bhalla chỉ tạo ra cho mình 1 tài khoản mới. "Chúng tôi truy cập vào một cơ sở dữ liệu giữ các tài khoản và tạo ra một tài khoản mới với 14 triệu USD", Bhalla giải thích. "Chúng tôi chỉ tạo ra 14 triệu USD từ hư không".

Nếu ông muốn, ông có thể bước vào bất cứ chi nhánh ngân hàng nào, chuyển tiền vào một tài khoản nước ngoài, và rồi không bao giờ phải làm việc nữa. Thay vào đó, ông đi tới 1 máy ATM và rút ra số tiền kỷ lục bất chính của mình.

"Các nhân viên ngân hàng đã cực kỳ kinh ngạc," Bhalla nói. Họ đã ngây ra vì sốc.
Ngân hàng ngay lập tức xóa món tiền khổng lồ của Bhalla đồng thời tiến hành các bước để củng cố hệ thống mạng lưới của mình, ông kể.

Trong vụ cướp ngân hàng bị phanh phui tuần trước, các quan chức liên bang cho rằng những tên trộm đã đột nhập vào hệ thống mạng tại các công ty mà xử lý giao dịch thẻ ghi nợ trả trước và điều khiển các tài khoản để tạo ra hạn mức chi tiêu cao kỷ lục. Từ đó, đây chỉ là vấn đề tạo ra các thẻ ghi nợ thật cho các tài khoản này và tìm tới các máy ATM để rút tiền mặt.
"Chúng chỉ cập nhật cơ sở dữ liệu với thông tin thẻ ghi nợ, cách đó mới đơn giản làm sao", Bhalla nói.

Trong nhiều vụ cướp ngân hàng bằng công nghệ hiện đại, bao gồm cả vụ trộm 45 triệu USD gần đây, khó để chỉ ra ai là người cuối cùng chịu tổn thất.

Thường thì không phải là những khách hàng cá nhân. Luật pháp Mỹ bảo vệ các tài khoản tiết kiệm và kiểm tra người tiêu dùng khỏi bất cứ thiệt hại nào do hành vi gian lận. Các tài khoản doanh nghiệp được bảo vệ ít hơn.

Bhalla cho biết một số tổ chức tài chính có bảo hiểm cho những thiệt hại của mình, tuy nhiên ông lưu ý rằng các công ty bảo hiểm không hề muốn đưa ra các chính sách với giới hạn bảo hiểm cao bởi rủi ro trong lĩnh vực này vẫn chưa được hiểu rõ ràng.

Cuối cùng, Bhalla nói những thiệt hại có khả năng do doanh nghiệp, các hãng bảo hiểm và chính phủ cùng chịu.

Nguồn Dân Việt/CNN


Sự kiện