Rewitalizacja starych sztuczek również daje rezultaty
Data: 10 maja 2013 | Autor: Mikołaj Rutkowski | Brak komentarzy »
Nie sposób nie opisać na łamach Fraud IQ wirtualnego napadu na bank (aczkolwiek – jak Czytelnicy zobaczą dalej – właściwym określeniem byłaby raczej „instytucja finansowa”), w którym łupem przestępców padło 45 milionów dolarów. Co ciekawe, chociaż przestępcy wyprowadzili rzeczywistą gotówkę, to najpierw sztucznie ją stworzyli w postaci zapisów księgowych. Ze szczyptą ironii można zatem powiedzieć, że wykorzystali oni system bankowy do jednego z jego podstawowych zadań w ekonomii – kreacji pieniądza…
Szczegóły afery poznaliśmy dziś w nocy czasu polskiego, jako że wtedy do nowojorskiego sądu trafił akt oskarżenia przeciwko kilku uczestnikom przestępczego procederu. A cała sprawa rozpoczęła się stosunkowo niewinnie – od identyfikacji i zatrzymania kilku osób, które masowo pobierały gotówkę z bankomatów. Początkowo policja podejrzewała, że ma do czynienia z powszechnym wykorzystywaniem skradzionych / skopiowanych kart, ale kolejne kroki śledztwa ujawniły ogromną skalę przedsięwzięcia.
Jaki był zatem schemat całej operacji? Wykorzystano w niej anonimowe przedpłacone karty płatnicze. Są one stosunkowo powszechnie dostępne (także w Polsce), anonimowe, gdyż zazwyczaj wystawiane na okaziciela i uprawniają do dokonywania płatności lub podejmowania gotówki do wartości ich salda (kwoty zasilenia). I właśnie w wysokości dostępnych środków tkwi idea całej operacji. Hakerzy włamywali się do systemów rozliczeniowych, w których zmieniali kwoty dostępnych środków na rachunkach powiązanych z daną kartą. Dzięki temu możliwe było wypłacanie wielokrotnie większych sum niż faktycznie znajdujące się na rachunkach. Aby przyspieszyć proces pozyskiwania gotówki, każda karta była klonowana w wielu egzemplarzach, które następnie używano jednocześnie w wielu krajach.
Cała operacja, jakkolwiek w swoim schemacie stosunkowo prosta, wymagała od przestępców nie lada logistyki. W wyłudzeniu wzięła udział niewielka grupa hakerów, których celem było dokonanie zmian w systemach rozliczeniowych instytucji finansowych, oraz duża grupa zwerbowanych drobnych przestępców, wykorzystywanych do wykonywania wypłat z bankomatów. Nie znamy dokładnej ilości takich „mrówek”, ale dość zacytować za „New York Timesem”, że w lutym tego roku w ciągu 10 godzin tylko na terenie Nowego Jorku z 2.904 bankomatów wypłacono ponad 2,4 miliona dolarów! Ale po kolei…
Swoisty test możliwości wykonania zastosowanego schematu miał miejsce 21 grudnia zeszłego roku i przyniósł niebagatelną kwotę 5 milionów dolarów i rozbudził przestępcze apetyty. Ofiarą hakerów padł system nieujawnionego indyjskiego agenta rozliczeniowego, w którym zmieniono limity przypisane do przedpłaconych kart MasterCard wydanych przez National Bank of Ras Al-Khaimah (RakBank) ze Zjednoczonych Emiratów Arabskich. Najprawdopodobniej przestępcy sami nabyli te karty, aby uniknąć ryzyka, że posiadacz karty skradzionej zauważy dziwne transakcje lub zorientuje się, że jego limit został wykorzystany.
Największe wrażenie robi fakt, że przestępcy dysponowali danymi jedynie pięciu kart / rachunków i tylko na nich dokonali nieautoryzowanych zmian. Tymczasem klony tych kart posłużyły do wykonania ponad 4,5 tysiąca transakcji w 20 krajach na łączną kwotę 5 milionów dolarów!
Moje ogromne zaskoczenie budzi fakt, że systemy przeciwdziałające wyłudzeniom kartowym nie ujawniły masowych wypłat i nie wygenerowały odpowiednich alertów. Z drugiej jednak strony można śmiało założyć, że karty przedpłacone mogą nie być objęte monitoringiem lub jego zasady nie są tak restrykcyjne. Zazwyczaj bowiem maksymalne kwoty zasilenia takich kart nie są zbyt duże. Ostatecznie operacje zostały dostrzeżone przez samego MasterCarda, który zawiadomił natychmiast U.S. Secret Service, ale stało się to już po zakończeniu akcji wypłat.
19 lutego tego roku miała miejsce druga odsłona dramatu, według tego samego schematu, ale na znacznie większą skalę, jako że tym razem przestępcy z sukcesem sprzeniewierzyli kwotę 40 milionów dolarów. Tym razem ofiarą włamania padł system amerykańskiego (również nieujawnionego) agenta rozliczeniowego, a bazą całej operacji było dwanaście kart przedpłaconych wydanych przez Bank of Muscat w Omanie. W ciągu niecałych 10 godzin za pomocą ich klonów dokonano 36.000 transakcji w 25 krajach! Także i w tym przypadku reakcja instytucji finansowych była zbyt późna.
W całej sprawie deprymujące jest to, że zastosowany schemat oszustwa nie jest wynalazkiem tej przestępczej grupy. Był on już wykorzystywany m.in. w 2008 r., kiedy to skorumpowana pracownica firmy RBS WorldPay dopomogła grupie hakerów włamać się do systemu rozliczeniowego tej firmy, a następnie podwyższyć dostępne salda na rachunkach debetowych kart, na które przelewane było wynagrodzenie pracowników firm amerykańskich (tzw. payroll cards). Za pomocą klonów 44 kart bazowych w ciągu 12 godzin w bankomatach 280 miast na całym świecie wypłacono dzięki temu ponad 9 milionów dolarów. Jak widać, inne instytucje nie wyciągnęły z tego przypadku wystarczających wniosków.
Co więcej, jak donoszą serwisy zajmujące się bezpieczeństwem, jeszcze w styczniu tego roku VISA wystosowała alert do uczestników systemu płatności kartowych, zalecający m.in. wzmożony monitoring operacji bankomatowych ze względu na zaobserwowany przez tę organizację wzrost używania skopiowanych kart (te same dane karty pojawiały się w różnych miejscach świata w krótkich odstępach czasu). Najwyraźniej w ciągu miesiąca instytucje finansowe nie zdążyły dokonać rekonfiguracji swoich systemów antyfraudowych. Czy udało im się to do dziś?
Skomentuj wpis
Musisz być zalogowany/a, żeby zamieszczać komentarze.