Egészen hihetetlen történetről számolt be az indiai Haidarábád városának rendőrsége. A hatóságok a napokban tájékoztatták a közvéleményt egy helyi bankot ért kibertámadásról, amely a pénzintézet kibervédelmi felkészültségét nézve könnyebb feladat volt a hekkereknek, mint bekötni a cipőjüket.

Szélesre tárt digitális kapu

Az A.P. Mahesh Co-Operative Urban Bank az ország méreteihez képest egy kisebb intézmény, de így is 45 fiókkal üzemel és nagyjából 400 millió dollárnyi betétállománnyal rendelkezik. A még tavaly novemberben történt internetes támadás kivizsgálása azonban rávilágított arra, hogy ezt a pénzt gyakorlatilag szinte semmi nem védte a virtuális térben.

Az elkövetőknek mindössze 200 adathalász levelet kellett elhinteniük a banki munkatársak között ahhoz, hogy legalább egyikük rákattintson a preparált linkre. A meggondolatlan cselekedet következtében a hekkerek egy távoli hozzáférést biztosító trójait (Remote Access Trojan - RAT) telepítettek a számítógépre. A sikeres behatolás esélyét nagyban növelte, hogy a banknál a dolgozókat nem részesítették megfelelő biztonsági tréningekben, továbbá a rendszert sem vértezték fel semmiféle adathalászat ellen fejlesztett védelemmel. Mint ahogy a behatolásmegelőző és a behatolásjelző rendszerek sem szerepeltek a bank kibervédelmi intézkedéseinek (igen rövid) listáján. 

A helyzet innen csak rosszabb lett, mivel a dolgozói gépek közvetlen összeköttetésben voltak a belső kritikus rendszerekkel. Virtuális LAN-ok és egyéb komolyan vehető védelmi mechanizmusok hiányában a trójain keresztül gyakorlatilag teljes hozzáférést szereztek a támadók, beleértve a központi banki alkalmazásokat is.

A pénzintézet rendszerét több mint 10 szuperfelhasználói fiók kezelhette mindenféle kontroll nélkül (ráadásul ezek között volt olyan, amelyik ugyanazt a jelszót használta). A hekkerek ezek némelyikét feltörve bármilyen ügyféladathoz hozzájutottak, beleértve a számlaegyenleget tartalmazó adatbázisokat.

Köszönték szépen

A hírek szerint az illetéktelen hozzáférést több módon igyekeztek pénzzé tenni az elkövetők. Új számlákat hoztak létre, amelyekre más ügyfelek egyenlegéről utaltak át különböző összegeket. A rendőrségi adatok szerint több mint 1 millió dollárt sikerült így a Mahesh Banknál és más pénzintézeteknél vezetett több száz másik számlára utalni. A rablás befejezéseként a támadók közel ezer ATM-et használva kisebb tételekben vettek fel pénzt Indiában, majd a készpénzzel feltehetően az Egyesült Királyságba és Nigériába távoztak.

Arra a jelentés nem tér ki, hogy milyen felelősségrevonásban részesülnek a bank vezetői, akik hagyták, hogy "nem megfelelő hálózati infrastruktúrán" üzemeljenek a pénzintézet kritikus rendszerei. Az viszont igen, hogy a támadás idején a banknak nem volt érvényes licence a telepített tűzfalra.