Hekkerek rámolták ki a bangladesi nemzeti bankot

Ha már nemzeti bank, a hét sztorija Bangladesé (is lehetne). Hihetetlen történetnek tűnik, de egy elég tekintélyes cég vizsgálati anyaga írta le. Hackerek egymilliárd dollárt próbáltak ellopni a bangladesi nemzeti bakból – és majdnem sikerült nekik. Végül potom 81 millióval távoztak, pedig a bank nem létező biztonsági rendszere kész terülj, terülj, asztalkámat kínált számukra.

A komputerkalózkodásról szóló filmekben a hackerek a legmodernebb (a valóságban sokszor még nem is létező) számítástechnikai eszközöket használják. Ezek képernyőjén villámgyorsan pörögnek a számsorok, míg végül néhány másodperc múlva áttörik a legbiztosabb számítógépes védelmet is.

Semmi sem állhatna távolabb a sokkal kiábrándítóbb valóságtól. A legtöbb rendszerfeltörés ugyanis a legbanálisabb emberi hibák következménye. A hacker azzal kezdi az „évszázad kiberbűncselekményét”, hogy beírja találomra a következő jelszavakat: 1234, 123456, 12345678 (attól függően, hogy négy, hat vagy nyolc karakter a jelszavak minimális hossza), de könnyen szerencsével járhat a qwerty, a baseball, illetve a jól ismert vulgáris angol szavakkal is.

A legtöbb ember ugyanis ezeket a jelszavakat használja, így sokkal egyszerűbb hanyagságukat kihasználni, mint kifejleszteni a mesterséges intelligencia netovábbját. Ha a magánszemélyek saját e-mail-fiókjuk védelmével nem törődnek, az legyen az ő bajuk. Sokkal kellemetlenebb, ha olyanok viselkednek így, akiknek az lenne a feladatuk, hogy mások pénzére vigyázzanak. Pedig ez is előfordul – élhetően sokkal gyakrabban, mint arról értesülünk (hiszen egy bank, biztosító, bankkártyacég végét is jelentheti, ha kiderül a slendriánsága).

A bangladesi központi bank szervereibe idén februárban számítógépes bűnözők törtek be. Ez manapság nem lenne szenzációs hír, hiszen az efféle rablási kísérlet ma már mindennapos. Itt azonban sikerrel jártak, amihez nem is kellett különösebben zseniálisnak lenniük. A bank ugyanis nem használt semmilyen tűzfalat, noha az alapszintű tűzfal ma már az összes otthoni operációs rendszer alapfelszereltségének is része. A belső hálózat kiépítéséhez pedig a legvacakabb használt, tízdolláros hardvereszközöket és leharcolt számítógépeket használtak, tudósít az Ars Technica.

Az angol biztonságtechnikával, hadászattal és légi közlekedéssel foglalkozó BAE Systems elemzését ismertetve azt írják, hogy a hackerek a bangladesi bank alig felfogható biztonsági amatörizmusát kihasználva be tudtak hatolni a nemzetközi pénzmozgásokat bonyolító SWIFT-rendszerbe. A SWIFT a hetvenes évek óta létező, európaiként indult, ma már globálissá lett számítógépes hálózat. Jelenleg háromezer bank és egyéb pénzügyi szervezet csatlakozik a rendszerhez.

Amikor a SWIFT-en keresztül utalunk pénzt külföldre, valójában nem a pénz mozog, hanem csak egy fizetési megállapodás jön létre a küldő és a fogadó bankok között. A tényleges tranzakció csak később, jellemzően egy-két nap múlva történik meg. És ez a késlekedés volt a szerencséje a bangladesi bank részvényeseinek (és a betéteseinek). Miután a bank rendszereit feltörő hackerek elkezdték átutalni a sok millió dollárt, némi idő után az egyik adminisztrátornak feltűnt a gyanús pénzmozgás, és leállították a csalást. Ekkora azonban már 81 millió dollár köddé vált.

A SWIFT-rendszert úgy alkották meg, hogy kívülről a bankok között létrejövő kapcsolatokhoz nagyon nehéz hozzáférni, viszont a bankok maguk könnyedén kommunikálhatnak rajta keresztül egymással. Ez azt a veszélyt rejti magában, hogy ha a bűnözők betörnek a bankba (tehát a bank saját rendszereit törik föl), akkor – kis túlzással – azonnal hozzáférnek a SWIFT-hez is. (Az olcsó számítástechnikai eszközök nem tették lehetővé a különféle hálózatok biztonságos elkülönítését.)

Amint bejutottak a SWIFT rendszerébe, a hackerek mindent megtettek, hogy eltüntessék saját nyomaikat. Vírusokat telepítettek a tranzakciókat jegyzőkönyvező alrendszerekbe, az átutalásokra vonatkozó utasításokat pedig látszólag egy egyiptomi szerverről küldték. A pénzt aztán egy-egy Fülöp-szigeteki és Srí Lanka-i bankon keresztül próbálták kivenni. A filippínó pénzintézet egyik igazgatóját azóta le is tartóztatták, mert 427 ezer dollárt emelt le az egyik érintett számláról.

Az, hogy végül csak a megcélzott, majdnem egymilliárd dollár kevesebb mint tizedét sikerült meglovasítani, az részben a hackerek bangladesi bankárokat megszégyenítő idiotizmusának köszönhető. Az egyik 20 millió dolláros tétel átutalásakor ugyanis a kedvezményezett (egyébként nem is létező) Sri Lanka-i Shalika Alapítvány nevében a Foundation szót elírták Fandationre – vélhetően emberünk jobb volt az iskolában számtechből, mint angol helyesírásból. A német Citibank ügyintézője (mert ebben az esetben őrajtuk keresztül történt volna az átutalás) felfigyelt a hibára, és kapcsolatba lépett a bangladesi bankkal. Ott persze nem is tudtak az egész tranzakcióról, és így az egész akció kártyavárként összeomlott. Végük 870 millió dollárnyi elcsalt pénz átutalását sikerült sztornózni.

Félő, hogy mindez csak a jéghegy csúcsa. Mindenesetre az eset jól mutatja, hogy még az internet korában is rendkívül fontos, hogy ne hanyagoljuk el helyesírásunkat. Vagy telepítsünk megfelelő védelmet a hálózatunkhoz.

MNO, 2016. április 26.