SWIFT چگونه هک شد؛ ماجرای سرقت ۸۱ میلیون‌دلاری

در ماه فوریه در سرقتی بی‌‌سابقه که به‌نحوی به شبکه‌ی SWIFT نیز مرتبط بود، ظرف چند ساعت، ۸۱ میلیون دلار از حساب‌های بانکی در بنگلادش دزدیده شد و سرخط اخبار را پر کرد. اما پشت پرده‌ی این دزدی چه بود؟ در ادامه با دیجی‌کالا مگ همراه باشید.

روشی که برای سرقت از بانک بنگلادش، از آن استفاده شده بر نحوه‌ی کارکرد سیستم SWIFT تمرکز داشته است. ‌‌‌‌‌‌‌

در جریان تحقیقات در خصوص این سرقت، مشخص شد که هکرها بانک -و احتمالا بانک‌های- دیگری را هم تحت نظر داشته‌اند که با روشی مشابه نسبت به سرقت از آن‌ها اقدام کنند. هرچند که مقامات در خصوص موفقیت یا عدم موفقیت آن‌ها در سایر بانک‌های تحت نظرشان توضیح مشخصی ندادند.  هک بانک‌ها و سرقت پول از آن‌ها به‌صورت معمول با دزدیدن اطلاعات حساب بانکی صاحبان حساب که اشخاص حقیقی و حقوقی یا شرکت‌های کوچک هستند انجام می‌شود. تا‌‌‌به‌حال میلیاردها دلار با همین روش به سرقت رفته است. اما روشی که برای سرقت از بانک بنگلادش، از آن استفاده شده بر نحوه‌ی کارکرد سیستم «سوییفت» (SWIFT) و حساب‌های این بانک در این شبکه تمرکز داشته است. در ادامه، جزییات بیشتری را در مورد نتیجه‌ی تحقیقات منعکس می‌کنیم و آنچه در مورد این حمله می‌دانیم و نمی‌دانیم را برایتان بازگو خواهیم کرد.

سوییفت (SWIFT) چیست؟

 واژه‌ی «سوییفت» (SWIFT) مختصرشده‌ی عبارت Society for Worldwide Interbank Financial Telecommunication یا «جامعه‌ی جهانی ارتباطات مالی بین‌بانکی» است. سوییفت کنسرسیومی از بانک‌های عضو است که از طریق ارتباطات کامپیوتری امن به هم مرتبط هستند. این شبکه، سیستمی یکپارچه برای انتقال‌های مالی بین بانک‌های کشورهای مختلف است که روزانه میلیاردها دلار از طریق آن منتقل می‌شود. این کنسرسیوم در سال ۱۹۷۰ در بلژیک و با نظارت بانک ملی بلژیک مستقر شد و کمیته‌ای شامل صندوق ذخیره‌ی ارزی ایالات متحده، بانک انگلستان، بانک مرکزی اروپا، بانک ژاپن و چندین بانک بزرگ دیگر در دنیا، نظارت می‌شود.

نزدیک به یازده هزار بانک و موسسه‌ی مالی به بستر سوییفت متصل‌اند و روزانه ۲۵ میلیون بار با یکدیگر ارتباط برقرار می‌کنند. اغلب این ارتباطات، تراکنش‌های مربوط به نقل و انتقالات مالی هستند. موسسات مالی و خدمات‌دهنده‌های این حوزه، از طریق کد سوییفت خود شناسایی می‌شوند و هر یک از آن‌ها می‌توانند با کمک این کد و سایر اطلاعات، به اطلاعات حساب دسترسی و تراکنش‌های مالی را تایید کنند.

هک و سرقت چگونه اتفاق افتاد؟

در چهارم فوریه ۲۰۱۶، هکرهایی ناشناس با کمک اطلاعات سوییفت بانک مرکزی بنگلادش، چند ده درخواست جعلی انتقال پول را به بانک ارزی فدرال در نیویورک ارسال کردند. آن‌ها از این طریق از شعبه‌ی نیویورک درخواست کردند که از حساب سرمایه‌گذاری بانک بنگلادش، مبالغی را به حساب‌های بانکی‌ای واقع در فیلیپین، سریلانکا و نقاطی دیگر در آسیا منتقل کند.

 هکرها نهایتا مبلغ ۸۱ میلیون دلار را در قالب چهار درخواست متفاوت انتقال پول، از این طریق به حسابی در مجموعه‌ای مالی در فیلیپین واریز کردند و همچنین ۲۰ میلیون دلار دیگر را نیز به حسابی در بانک Pan Asia منتقل کردند. این در حالی بود که بانک بنگلادش مشغول مدیریت تراکنش‌هایی دیگر به مبلغ ۸۵۰ میلیون دلار بود.

در همان روز (۴ فوریه) مبلغ ۸۱ میلیون دلار در حساب‌های بانکی بانک Rizal در شعبه‌ی مانیل، پایتخت فیلیپین، واریز شد. رویترز گزارش کرده که تمامی این حساب‌ها حدود یک سال پیش در ماه می ۲۰۱۵ باز شده بودند، تنها مبلغ ۵۰۰ دلار در آن‌ها وجود داشته و با آن‌ها کار نشده بود. تا اینکه پول دزدیده‌شده در ماه فوریه به این حساب‌ها منتقل شد.

چیزی که باعث کشف این سرقت شد، ایراد در عملکرد یک پرینتر در بانک بنگلادش بود.

اما چیزی که باعث کشف این سرقت شد، ایراد در عملکرد یک پرینتر در بانک بنگلادش بود. سیستم سوییفت بانک طوری تنظیم شده بود که به ازای هر درخواست تراکنش، به‌صورت خودکار یک گزارش چاپ کند. این پرینتر به‌صورت ۲۴ ساعته کار می‌کرده و کارمندان بانک صبح روز جمعه (۵ فوریه) که به سر کار خود برگشتند، متوجه شدند پرینتر گزارشی را چاپ نکرده است. کارکنان بانک تلاش می‌کنند که گزارش‌های پرینتر را به‌صورت دستی چاپ کنند، اما موفق نمی‌شوند. نرم‌افزاری که کار ارتباط با شبکه سوییفت را برای دریافت گزارش‌ها انجام می‌داد به دلیل عدم وجود یکی از فایل‌های مهم‌اش از کار افتاده بود. آن‌ها سرانجام روز بعد (شنبه – ۶ فوریه) موفق به راه‌اندازی نرم‌افزار و چاپ گزارشات شده و بدین‌ترتیب درخواست‌های جعلی هکرها آشکار می‌شوند. اتفاقی که افتاده این بوده که بانک آمریکایی در نیویورک، گزارش تایید تراکنش‌ها را برای بانک بنگلادش ارسال کرده، اما پاسخی دریافت نکرده است. در اینجا کارکنان بانک در بنگلادش تازه صبح شنبه متوجه قضیه شده و نگران می‌شوند که مبالغ دچار ناهم‌خوانی شده باشد. طبق اطلاعاتی که آن‌ها در بانک‌شان دارند، همه‌چیز سر جای خود است، اما تراکنش‌های حساب بانک بنگلادش در نیویورک به‌طور دقیق آگاه نیستند.

آن‌ها سعی می‌کنند از طریق سوییفت با بانک فدرال در نیویورک تماس بگیرند، اما زمان‌بندی هکرها عالی بوده است. چراکه صبح شنبه، شعبه‌ی بانک در نیویورک تعطیل است و تا صبح دوشنبه کسی پاسخگو نیست. به‌هرحال کارکنان بانک در بنگلادش سرانجام متوجه می‌شوند که تعداد تراکنش‌هایی که بر پایه‌ی درخواست‌های جعلی به انجام رسیده چهار عدد و مبلغ آن‌ها ۱۰۱ میلیون دلار بوده است.

احتمالا هکرها قصد سرقت مبلغی بیشتر را داشته‌اند که ظاهرا به‌خاطر یک غلط تایپی که از چشمان بانک فدرال در نیویورک پنهان نمانده، موفق نشده‌اند.

بانک بنگلادش با بانک Pan Asia تماس گرفته و موفق می‌شود تنها تراکنشی که به این بانک منتهی شده را به حساب خود در بانک نیویورک بازگرداند. بدین‌ترتیب ۲۰ میلیون دلار از پول‌ها از هکرها پس گرفته می‌شود. اما مبلغ ۸۱ میلیون دلار باقی‌مانده که به بانک Rizal در فیلیپین رفته بود از دست می‌رود. این مبلغ به چندین حساب واریز شده که مربوط به چند کازینو در فیلیپین بوده است. همه‌ی پول‌ها به‌جز مبلغ ناچیز ۶۸ هزار دلار بین تاریخ‌های ۵ تا ۹ فوریه که بانک بنگلادش مشغول ردگیری بوده از حساب‌ها برداشت شده است. البته درخواست بانک بنگلادش برای برگشت پول در ۹ فوریه به بانک فیلیپینی رسیده بوده، اما مدیر این بانک ظاهرا با وجود آگاهی از این درخواست، اجازه‌ی برداشت را به صاحبان حساب داده که در این‌باره، مورد سوال قرار گرفته است. احتمالا هکرها قصد سرقت مبلغی بیشتر را داشته‌اند که ظاهرا به‌خاطر یک غلط تایپی که از چشمان بانک فدرال در نیویورک پنهان نمانده، موفق نشده‌اند. ظاهرا حداقل در یکی از درخواست‌ها هکرها مبلغی را برای واریز به حساب Shalika Foundation مشخص کرده بوده‌اند که در این اشتباه تایپی، به جای Foundation واژه‌ی Fandation تایپ شده است.

در این سرقت چند بانک مورد حمله قرار گرفتند؟

ظاهرا حداقل دو بانک مورد حمله قرار گرفته‌اند که احتمال می‌رود تعداد آن‌ها بیشتر هم باشد. کنسرسیوم سوییفت برای تمامی اعضای خود اخطاری ارسال کرده که نشان می‌دهد بانک دیگری نیز در آسیا مورد حمله‌ای مشابه قرار گرفته است. در این اخطار نامی از بانک آسیایی دوم برده نشده، اما بانک Tien Phong اخیرا به رویترز گفته در سه ماهه‌ی آخر سال گذشته‌ی میلادی، با هک مشابهی مواجه شده‌اند و پیش از بازگشت پول‌ها مبلغ یک میلیون و صد هزار دلار از دست رفته است.

یک سخن‌گوی سوییفت به وال‌استریت‌ژورنال گفته که چند مورد هک دیگر در این شبکه رخ داده است اما آن هک‌ها چندان استادانه طراحی نشده و سرقت‌های موفقی نیز از طریق آن‌ها در هیچ‌یک از شعبات بانک‌ها به انجام نرسیده است.

آیا حمله‌کننده‌ها موفق به نفوذ به سوییفت شده‌اند؟

به گفته‌ی سوییفت، هکرها به‌طور قطع اطلاعات حساس بانک بنگلادشی برای دسترسی به شبکه‌ی سوییفت را داشته‌اند و در واقع نفوذی غیرعادی و مستقیم به این شبکه انجام نشده است. از طریق همین اطلاعات آن‌ها خود را به جای کارکنان بانک جا زده و توانسته‌اند درخواست‌های جعلی را در قالب درخواست‌هایی رسمی ارسال کنند. گزارشی تازه به احتمال وجود یک هم‌دست در میان کارکنان بانک یادشده اشاره می‌کند که این اطلاعات حساس را برای هکرها ارسال کرده‌اند. سایر گزارشات اما، حفاظت‌های سطح پایین امنیتی در خود بانک را مقصر می‌دانند. گزارش‌ها نشان می‌دهند در این بانک از فایروال مناسب برای حفاظت از شبکه استفاده نشده و هکرها از همین طریق موفق به دزدی اطلاعات حساس و دسترسی به سوییفت بانک شده‌اند.

هکرها چگونه رد پای خود را پوشانده‌اند؟

هکرها با نصب بدافزاری در شبکه‌ی بانک، درخواست‌های جعلی‌شان را از دید کارکنان شعبه پنهان نگه داشتند.

هکرها با نصب بدافزاری در شبکه‌ی بانک، درخواست‌های جعلی‌شان را از دید کارکنان شعبه پنهان نگه داشتند. در خصوص بانک بنگلادش، این بدافزار، نرم‌افزاری که عملیات خودکار پرینت تراکنش‌های سوییفت را انجام می‌داد، مختل می‌کرد. ظاهرا هکرها این بدافزار را در ماه ژانویه (یک ماه پیش از حمله) روی سیستم بانک، نصب کرده‌اند. اما به گزارش نیویورک‌تایمز در خصوص بانک ویتنام اوضاع اندکی متفاوت بوده است. بدافزاری که هکرها از آن استفاده کردند، برای پنهان‌سازی عملیات، نرم‌افزاری که کارکنان با کمک آن گزارش‌های تراکنش‌ها را در فرمت PDF می‌خواندند، دست‌کاری می‌کرد؛ به‌نحوی که گزارش‌های مربوط به درخواست‌ها و تراکنش‌های مشکوک به چشم کارمندان نیاید و ردپایی تا پیش از پایان عملیات سرقت، دیده نشود.

این سرقت الکترونیک چه معنی‌ای دارد؟

چه هکرها به شبکه‌ی سوییفت و بانک‌های عضو آن نفوذ کرده باشند و چه این نفوذ صورت نگرفته باشد، این خبری خوب برای بانکداری در دنیا نیست.

با هدف‌گیری روش‌هایی که بانک‌های عضو سوییفت با کمک آن روش‌ها، تراکنش‌ها را در شبکه‌ی سوییفت تایید و هدایت می‌کنند، هکرها نشان داده‌اند حداقل تابه‌حال در تحلیل آن‌ها موفق بوده‌اند. چنین حوادثی می‌تواند میزان اعتماد به سوییفت را کاهش دهد. در حال حاضر دولت آمریکا با اعتماد به صحت تراکنش‌های سوییفت، انتقال‌های مالی مشکوک به ارتباط با تروریست‌ها را تحت نظر دارد. در همین رابطه برنامه‌ای با عنوان «برنامه‌ی ردگیری‌های مالی مرتبط با تروریسم» (Terrorist Finance Tracking Program) وجود دارد که به گفته‌ی دولت آمریکا به این کشور و متحدانش اجازه می‌دهد علاوه بر شناسایی و مکان‌یابی عملیات‌ها و انتقال‌های مالی تروریست‌ها و شبکه‌های تروریستی، مانع دسترسی آن‌ها به پول شوند. اما درصورتی‌که هکرها بتوانند به‌راحتی امنیت شبکه‌ی سوییفت را -مشابه سرقت بانک بنگلادش- دور بزنند، نمی‌توان به بررسی تراکنش‌های این شبکه برای ردگیری تروریست‌ها اعتماد کافی داشت. ممکن است تروریست‌ها یا کشورهایی که تحت تحریم‌های بین‌المللی هستند نیز از طرق مشابه نسبت به انتقال یا سرقت پول اقدام کنند. به گفته‌ی «ریچل اِرِنفلد» (Rachel Ehrenfeld)، نویسنده کتاب Funding Evil: How Terrorism Is Financed and How to Stop It، پیش از این، او و همکارانش در خصوص هک سوییفت بارها هشدارهایی داده و تاکید کرده‌اند که چنین هکی بهترین راه برای دور زدن دولت‌ها و شبکه‌های امنیتی آن‌ها خواهد بود.

مقصر کیست؟

در خصوص سرقت اخیر، بانک بنگلادش، شعبه‌ی نیویورک بانک فدرال آمریکا را مقصر می‌داند که بدون انتظار برای دریافت تاییدیه از بانک بنگلادش اقدام به انتقال پول کرده است. از طرفی بانک نیویورک نیز تاکید می‌کند که در قبال ارسال درخواست‌ها برای بانک بنگلادش هرگز پاسخی دریافت نکرده است.

مقامات مسوول تحقیق در این خصوص تاکید کرده‌اند که از روال‌های از پیش تعیین شده جهت قبول پنج مورد از درخواست‌هایی که در واقع از سوی هکرها ارسال شده بود، تبعیت کرده و سی درخواست دیگر را مسدود کرده‌اند. اما نظر مقامات بانک بنگلادش این است که شعبه‌ی نیویورک بانک فدرال باید تمامی تراکنش‌ها را تا زمان دریافت پاسخ از شعبه‌شان مسدود کرده و مشکوک تلقی می‌کرد.

ارتباط با هک سونی و کشف سرنخ‌های بیشتر

بدافزار یادشده که در کارکرد نرم‌افزار ارتباط با سوییفت در بانک بنگلادش اختلال ایجاد کرده بود، شباهت‌هایی با بدافزار مربوط به هک سونی دارد که آمریکا آن را به کره‌ شمالی نسبت داده بود. اگرچه در گفت‌وگوی یکی از محققان پرونده، سرقت از این بانک با بلومبرگ، تاکید شده که این بدافزار ارتباط مستقیمی با سرقت نداشته است.

با استناد به برخی سرنخ‌های محکم، با وجود این نشانه‌ها، گروه یادشده، سرقت از بانک بنگلادش را انجام نداده و در واقع گروه سومی -که ارتباطش با پرونده‌ی هک سونی نامعلوم است- عملیات را به انجام رسانده است.

سرنخ‌های به‌دست‌آمده در این پرونده از همکاری سه گروه هکر خبر می‌دهد که به شبکه‌ی بانک بنگلادش نفوذ کرده بودند که یکی از آن‌ها احتمالا ارتباطی با پرونده‌ی هک سونی داشته است.

تحقیقات دولتی در فیلیپین نیز در حال انجام است تا سرنخ‌هایی در خصوص هویت شخص یا اشخاصی که ۸۱ میلیون دلار را از بانک بنگلادش سرقت کرده‌اند، پیدا شود. به نظر می‌رسد حداقل ۲۱ میلیون دلار از پول‌ها، از فیلیپین به یک حساب بانکی در هاوایی منتقل شده که مربوط به شرکتی متعلق به یک تاجر چینی به نام «کیم وُنگ» (Kim Wong) است. به گفته‌ی او این پرداخت مربوط به کمک به یک مشتری چینی جهت پرداخت بدهی به یک کازینو بوده که این مشتری، بدهی ۲۱ میلیون دلاری‌اش را با آقای وُنگ تسویه کرده است. کازینوها در این کشور تحت قوانین ضدپولشویی کار نمی‌کنند و نظارت بر آن‌ها مشکل است. بدین‌ترتیب شکاف‌های زیادی برای پنهان‌کردن پول‌های دزدیده شده توسط هکر-سارق‌ها وجود دارد که کازینوها یکی از آن‌ها هستند.