در ماه فوریه در سرقتی بیسابقه که بهنحوی به شبکهی SWIFT نیز مرتبط بود، ظرف چند ساعت، ۸۱ میلیون دلار از حسابهای بانکی در بنگلادش دزدیده شد و سرخط اخبار را پر کرد. اما پشت پردهی این دزدی چه بود؟
در جریان تحقیقات در خصوص این سرقت، مشخص شد که هکرها بانک -و احتمالا بانکهای- دیگری را هم تحت نظر داشتهاند که با روشی مشابه نسبت به سرقت از آنها اقدام کنند. هرچند که مقامات در خصوص موفقیت یا عدم موفقیت آنها در سایر بانکهای تحت نظرشان توضیح مشخصی ندادند. هک بانکها و سرقت پول از آنها بهصورت معمول با دزدیدن اطلاعات حساب بانکی صاحبان حساب که اشخاص حقیقی و حقوقی یا شرکتهای کوچک هستند انجام میشود.
تابهحال میلیاردها دلار با همین روش به سرقت رفته است. اما روشی که برای سرقت از بانک بنگلادش، از آن استفاده شده بر نحوهی کارکرد سیستم «سوییفت» (SWIFT) و حسابهای این بانک در این شبکه تمرکز داشته است. در ادامه، جزییات بیشتری را در مورد نتیجهی تحقیقات منعکس میکنیم و آنچه در مورد این حمله میدانیم و نمیدانیم را برایتان بازگو خواهیم کرد.
سوییفت (SWIFT) چیست؟
واژهی «سوییفت» (SWIFT) مختصرشدهی عبارت Society for Worldwide Interbank Financial Telecommunication یا «جامعهی جهانی ارتباطات مالی بینبانکی» است. سوییفت کنسرسیومی از بانکهای عضو است که از طریق ارتباطات کامپیوتری امن به هم مرتبط هستند. این شبکه، سیستمی یکپارچه برای انتقالهای مالی بین بانکهای کشورهای مختلف است که روزانه میلیاردها دلار از طریق آن منتقل میشود. این کنسرسیوم در سال ۱۹۷۰ در بلژیک و با نظارت بانک ملی بلژیک مستقر شد و کمیتهای شامل صندوق ذخیرهی ارزی ایالات متحده، بانک انگلستان، بانک مرکزی اروپا، بانک ژاپن و چندین بانک بزرگ دیگر در دنیا، نظارت میشود.
نزدیک به یازده هزار بانک و موسسهی مالی به بستر سوییفت متصلاند و روزانه ۲۵ میلیون بار با یکدیگر ارتباط برقرار میکنند. اغلب این ارتباطات، تراکنشهای مربوط به نقل و انتقالات مالی هستند. موسسات مالی و خدماتدهندههای این حوزه، از طریق کد سوییفت خود شناسایی میشوند و هر یک از آنها میتوانند با کمک این کد و سایر اطلاعات، به اطلاعات حساب دسترسی و تراکنشهای مالی را تایید کنند.
هک و سرقت چگونه اتفاق افتاد؟
در چهارم فوریه ۲۰۱۶، هکرهایی ناشناس با کمک اطلاعات سوییفت بانک مرکزی بنگلادش، چند ده درخواست جعلی انتقال پول را به بانک ارزی فدرال در نیویورک ارسال کردند. آنها از این طریق از شعبهی نیویورک درخواست کردند که از حساب سرمایهگذاری بانک بنگلادش، مبالغی را به حسابهای بانکیای واقع در فیلیپین، سریلانکا و نقاطی دیگر در آسیا منتقل کند.
هکرها نهایتا مبلغ ۸۱ میلیون دلار را در قالب چهار درخواست متفاوت انتقال پول، از این طریق به حسابی در مجموعهای مالی در فیلیپین واریز کردند و همچنین ۲۰ میلیون دلار دیگر را نیز به حسابی در بانک Pan Asia منتقل کردند. این در حالی بود که بانک بنگلادش مشغول مدیریت تراکنشهایی دیگر به مبلغ ۸۵۰ میلیون دلار بود.
در همان روز (۴ فوریه) مبلغ ۸۱ میلیون دلار در حسابهای بانکی بانک Rizal در شعبهی مانیل، پایتخت فیلیپین، واریز شد. رویترز گزارش کرده که تمامی این حسابها حدود یک سال پیش در ماه می ۲۰۱۵ باز شده بودند، تنها مبلغ ۵۰۰ دلار در آنها وجود داشته و با آنها کار نشده بود. تا اینکه پول دزدیدهشده در ماه فوریه به این حسابها منتقل شد.
اما چیزی که باعث کشف این سرقت شد، ایراد در عملکرد یک پرینتر در بانک بنگلادش بود. سیستم سوییفت بانک طوری تنظیم شده بود که به ازای هر درخواست تراکنش، بهصورت خودکار یک گزارش چاپ کند. این پرینتر بهصورت ۲۴ ساعته کار میکرده و کارمندان بانک صبح روز جمعه (۵ فوریه) که به سر کار خود برگشتند، متوجه شدند پرینتر گزارشی را چاپ نکرده است. کارکنان بانک تلاش میکنند که گزارشهای پرینتر را بهصورت دستی چاپ کنند، اما موفق نمیشوند. نرمافزاری که کار ارتباط با شبکه سوییفت را برای دریافت گزارشها انجام میداد به دلیل عدم وجود یکی از فایلهای مهماش از کار افتاده بود.
آنها سرانجام روز بعد (شنبه – ۶ فوریه) موفق به راهاندازی نرمافزار و چاپ گزارشات شده و بدینترتیب درخواستهای جعلی هکرها آشکار میشوند. اتفاقی که افتاده این بوده که بانک آمریکایی در نیویورک، گزارش تایید تراکنشها را برای بانک بنگلادش ارسال کرده، اما پاسخی دریافت نکرده است. در اینجا کارکنان بانک در بنگلادش تازه صبح شنبه متوجه قضیه شده و نگران میشوند که مبالغ دچار ناهمخوانی شده باشد. طبق اطلاعاتی که آنها در بانکشان دارند، همهچیز سر جای خود است، اما تراکنشهای حساب بانک بنگلادش در نیویورک بهطور دقیق آگاه نیستند.
آنها سعی میکنند از طریق سوییفت با بانک فدرال در نیویورک تماس بگیرند، اما زمانبندی هکرها عالی بوده است. چراکه صبح شنبه، شعبهی بانک در نیویورک تعطیل است و تا صبح دوشنبه کسی پاسخگو نیست. بههرحال کارکنان بانک در بنگلادش سرانجام متوجه میشوند که تعداد تراکنشهایی که بر پایهی درخواستهای جعلی به انجام رسیده چهار عدد و مبلغ آنها ۱۰۱ میلیون دلار بوده است.
بانک بنگلادش با بانک Pan Asia تماس گرفته و موفق میشود تنها تراکنشی که به این بانک منتهی شده را به حساب خود در بانک نیویورک بازگرداند. بدینترتیب ۲۰ میلیون دلار از پولها از هکرها پس گرفته میشود. اما مبلغ ۸۱ میلیون دلار باقیمانده که به بانک Rizal در فیلیپین رفته بود از دست میرود. این مبلغ به چندین حساب واریز شده که مربوط به چند کازینو در فیلیپین بوده است. همهی پولها بهجز مبلغ ناچیز ۶۸ هزار دلار بین تاریخهای ۵ تا ۹ فوریه که بانک بنگلادش مشغول ردگیری بوده از حسابها برداشت شده است.
البته درخواست بانک بنگلادش برای برگشت پول در ۹ فوریه به بانک فیلیپینی رسیده بوده، اما مدیر این بانک ظاهرا با وجود آگاهی از این درخواست، اجازهی برداشت را به صاحبان حساب داده که در اینباره، مورد سوال قرار گرفته است. احتمالا هکرها قصد سرقت مبلغی بیشتر را داشتهاند که ظاهرا بهخاطر یک غلط تایپی که از چشمان بانک فدرال در نیویورک پنهان نمانده، موفق نشدهاند. ظاهرا حداقل در یکی از درخواستها هکرها مبلغی را برای واریز به حساب Shalika Foundation مشخص کرده بودهاند که در این اشتباه تایپی، به جای Foundation واژهی Fandation تایپ شده است.
در این سرقت چند بانک مورد حمله قرار گرفتند؟
ظاهرا حداقل دو بانک مورد حمله قرار گرفتهاند که احتمال میرود تعداد آنها بیشتر هم باشد. کنسرسیوم سوییفت برای تمامی اعضای خود اخطاری ارسال کرده که نشان میدهد بانک دیگری نیز در آسیا مورد حملهای مشابه قرار گرفته است. در این اخطار نامی از بانک آسیایی دوم برده نشده، اما بانک Tien Phong اخیرا به رویترز گفته در سه ماههی آخر سال گذشتهی میلادی، با هک مشابهی مواجه شدهاند و پیش از بازگشت پولها مبلغ یک میلیون و صد هزار دلار از دست رفته است.
یک سخنگوی سوییفت به والاستریتژورنال گفته که چند مورد هک دیگر در این شبکه رخ داده است اما آن هکها چندان استادانه طراحی نشده و سرقتهای موفقی نیز از طریق آنها در هیچیک از شعبات بانکها به انجام نرسیده است.
آیا حملهکنندهها موفق به نفوذ به سوییفت شدهاند؟
به گفتهی سوییفت، هکرها بهطور قطع اطلاعات حساس بانک بنگلادشی برای دسترسی به شبکهی سوییفت را داشتهاند و در واقع نفوذی غیرعادی و مستقیم به این شبکه انجام نشده است. از طریق همین اطلاعات آنها خود را به جای کارکنان بانک جا زده و توانستهاند درخواستهای جعلی را در قالب درخواستهایی رسمی ارسال کنند. گزارشی تازه به احتمال وجود یک همدست در میان کارکنان بانک یادشده اشاره میکند که این اطلاعات حساس را برای هکرها ارسال کردهاند. سایر گزارشات اما، حفاظتهای سطح پایین امنیتی در خود بانک را مقصر میدانند. گزارشها نشان میدهند در این بانک از فایروال مناسب برای حفاظت از شبکه استفاده نشده و هکرها از همین طریق موفق به دزدی اطلاعات حساس و دسترسی به سوییفت بانک شدهاند.
هکرها چگونه رد پای خود را پوشاندهاند؟
هکرها با نصب بدافزاری در شبکهی بانک، درخواستهای جعلیشان را از دید کارکنان شعبه پنهان نگه داشتند. در خصوص بانک بنگلادش، این بدافزار، نرمافزاری که عملیات خودکار پرینت تراکنشهای سوییفت را انجام میداد، مختل میکرد. ظاهرا هکرها این بدافزار را در ماه ژانویه (یک ماه پیش از حمله) روی سیستم بانک، نصب کردهاند. اما به گزارش نیویورکتایمز در خصوص بانک ویتنام اوضاع اندکی متفاوت بوده است. بدافزاری که هکرها از آن استفاده کردند، برای پنهانسازی عملیات، نرمافزاری که کارکنان با کمک آن گزارشهای تراکنشها را در فرمت PDF میخواندند، دستکاری میکرد؛ بهنحوی که گزارشهای مربوط به درخواستها و تراکنشهای مشکوک به چشم کارمندان نیاید و ردپایی تا پیش از پایان عملیات سرقت، دیده نشود.
این سرقت الکترونیک چه معنیای دارد؟
با هدفگیری روشهایی که بانکهای عضو سوییفت با کمک آن روشها، تراکنشها را در شبکهی سوییفت تایید و هدایت میکنند، هکرها نشان دادهاند حداقل تابهحال در تحلیل آنها موفق بودهاند. چنین حوادثی میتواند میزان اعتماد به سوییفت را کاهش دهد. در حال حاضر دولت آمریکا با اعتماد به صحت تراکنشهای سوییفت، انتقالهای مالی مشکوک به ارتباط با تروریستها را تحت نظر دارد.
در همین رابطه برنامهای با عنوان «برنامهی ردگیریهای مالی مرتبط با تروریسم» (Terrorist Finance Tracking Program) وجود دارد که به گفتهی دولت آمریکا به این کشور و متحدانش اجازه میدهد علاوه بر شناسایی و مکانیابی عملیاتها و انتقالهای مالی تروریستها و شبکههای تروریستی، مانع دسترسی آنها به پول شوند.
اما درصورتیکه هکرها بتوانند بهراحتی امنیت شبکهی سوییفت را -مشابه سرقت بانک بنگلادش- دور بزنند، نمیتوان به بررسی تراکنشهای این شبکه برای ردگیری تروریستها اعتماد کافی داشت. ممکن است تروریستها یا کشورهایی که تحت تحریمهای بینالمللی هستند نیز از طرق مشابه نسبت به انتقال یا سرقت پول اقدام کنند.
به گفتهی «ریچل اِرِنفلد» (Rachel Ehrenfeld)، نویسنده کتاب Funding Evil: How Terrorism Is Financed and How to Stop It، پیش از این، او و همکارانش در خصوص هک سوییفت بارها هشدارهایی داده و تاکید کردهاند که چنین هکی بهترین راه برای دور زدن دولتها و شبکههای امنیتی آنها خواهد بود.
مقصر کیست؟
در خصوص سرقت اخیر، بانک بنگلادش، شعبهی نیویورک بانک فدرال آمریکا را مقصر میداند که بدون انتظار برای دریافت تاییدیه از بانک بنگلادش اقدام به انتقال پول کرده است. از طرفی بانک نیویورک نیز تاکید میکند که در قبال ارسال درخواستها برای بانک بنگلادش هرگز پاسخی دریافت نکرده است.
مقامات مسوول تحقیق در این خصوص تاکید کردهاند که از روالهای از پیش تعیین شده جهت قبول پنج مورد از درخواستهایی که در واقع از سوی هکرها ارسال شده بود، تبعیت کرده و سی درخواست دیگر را مسدود کردهاند. اما نظر مقامات بانک بنگلادش این است که شعبهی نیویورک بانک فدرال باید تمامی تراکنشها را تا زمان دریافت پاسخ از شعبهشان مسدود کرده و مشکوک تلقی میکرد.
ارتباط با هک سونی و کشف سرنخهای بیشتر
بدافزار یادشده که در کارکرد نرمافزار ارتباط با سوییفت در بانک بنگلادش اختلال ایجاد کرده بود، شباهتهایی با بدافزار مربوط به هک سونی دارد که آمریکا آن را به کره شمالی نسبت داده بود. اگرچه در گفتوگوی یکی از محققان پرونده، سرقت از این بانک با بلومبرگ، تاکید شده که این بدافزار ارتباط مستقیمی با سرقت نداشته است.
با استناد به برخی سرنخهای محکم، با وجود این نشانهها، گروه یادشده، سرقت از بانک بنگلادش را انجام نداده و در واقع گروه سومی -که ارتباطش با پروندهی هک سونی نامعلوم است- عملیات را به انجام رسانده است.
تحقیقات دولتی در فیلیپین نیز در حال انجام است تا سرنخهایی در خصوص هویت شخص یا اشخاصی که ۸۱ میلیون دلار را از بانک بنگلادش سرقت کردهاند، پیدا شود. به نظر میرسد حداقل ۲۱ میلیون دلار از پولها، از فیلیپین به یک حساب بانکی در هاوایی منتقل شده که مربوط به شرکتی متعلق به یک تاجر چینی به نام «کیم وُنگ» (Kim Wong) است. به گفتهی او این پرداخت مربوط به کمک به یک مشتری چینی جهت پرداخت بدهی به یک کازینو بوده که این مشتری، بدهی ۲۱ میلیون دلاریاش را با آقای وُنگ تسویه کرده است. کازینوها در این کشور تحت قوانین ضدپولشویی کار نمیکنند و نظارت بر آنها مشکل است. بدینترتیب شکافهای زیادی برای پنهانکردن پولهای دزدیده شده توسط هکر-سارقها وجود دارد که کازینوها یکی از آنها هستند.