Egy támadássorozattal 45 millió dollárt kasszíroztak bankrablók Amerikában. A rablás jól mutatja, milyen rendszerszintű veszélyeknek van kitéve egy pénzintézet a globalizált világban.
A közelmúltban
a New York Times számolt be egy tavaly december és idén február között történt bankkártya-csalásról, melynek során a rablók 45 millió dollárt zsákmányoltak pár óra alatt. Az eset jól illusztrálja, hogyan zajlik egy modern bankrablás.
Nincs maszk és fegyver ■ A bankrablók is korszerűsítették az eszköztárukat. Nincsenek fegyverek, maszkok, van helyettük notebook és internet. Így nagyobb haszon, és kisebb a lebukás veszélye is, mert a felderítés komoly nehézségekbe ütközhet, főleg ha az elkövetők nemzetközi színtéren dolgoznak.
A nemzetközi szintű nyomozás során bebizonyosodott, hogy a nagyszabású akció kiinduló pontja egy adatbiztonsági incidens volt. A kiberbűnözők hozzáfértek egy indiai vállalat azon adatbázisához, amelyből rengeteg bankkártyaadatot tudtak „kiszivattyúzni”. A kártyaadatok nagy többsége egy az Egyesült Arab Emirátusokban működő bank ügyfeleihez tartozott. Ráadásul az incidensben érintett bankkártyák egyike sem rendelkezett chippel, vagyis régebbi, a klónozásra sokkal érzékenyebb, mágnescsíkos kártyák voltak.
A kiberbűnözők az adatok birtokában már tavaly nekiláttak a kártyák klónozásának, majd december 22-én meg is indították az első akciójukat, amivel 5 millió dollárt kasszíroztak. Az akció rendkívül kiterjedt és szervezett volt: 20 országból hajtották végre mindössze néhány óra leforgása alatt. Ez volt a kezdet. Február 19-én ugyanis újabb támadásba lendültek. Viszonylag rövid idő alatt az újabb összehangolt akcióval mintegy 40 millió dollárt loptak el. A nyomozó hatóságok eddig körülbelül 36 ezer illegális tranzakciót tudtak azonosítani, amiből arra következtettek, hogy a bankrablók több százan lehettek.
Bár azt még egyelőre nem sikerült felderíteni, hogy ki vagy milyen csoport állt a támadás mögött, az Egyesült Államokban letartóztattak hét személyt, akik a februári akció során New York-i ATM-ekből összesen 2,4 millió dollárt vettek ki a hamis klónozott kártyákkal. Rajtuk kívül a Dominikai Köztársaságban is letartóztattak nyolc embert, akik szintén kapcsolatba hozhatók a támadással.
Az eset nem egyedi ■ Bár a támadás mérete rendkívüli, az elkövetés módjára volt már példa. 2008-ban például a WorldPay szenvedett el egy hasonló incidenst, amelynek levezénylésében egy orosz banda vett részt. A mostanihoz – szervezettségében, az elkövetés módjában, nemzetközi kiterjedtségében – kísértetiesen hasonló események végül 9 millió dolláros kárhoz vezettek. Az akkori elkövetőket végül 2010-ben sikerült kézre keríteni és letartóztatni.
Arra az amerikai nyomozást vezető szakemberek is felhívták a figyelmet, hogy itt rendszerszintű problémáról van szó, hiszen nem elég a kártyákat klónozni, a hozzájuk tartozó adatokat is módosítani kellett, azaz itt az egész rendszer manipulációját lehet feltételezni. Biztonsági szakértők szerint persze már a chipes kártyák használata is sokban segítette volna a rendkívüli méretű rablás megelőzését.
(Az cikk a Biztonságportálon megjelent írás szerkesztett változata.)
