FBI: Cyber Crooks Stole $40M From U.S. Small, Mid-Sized Firms
By Brian Krebs | October 26, 2009; 1:00 PM ET
Theo: http://voices.washingtonpost.com/securityfix/2009/10/fbi_cyber_gangs_stole_40mi.html#more
Bài được đưa lên Internet ngày: 26/10/2009
Lời người dịch: Các nạn nhân bị ăn cắp tiền từ việc sử dụng ngân hàng trực tuyến hầu như đều là các công ty Mỹ, bọn ăn cắp được cho là ở Moldova, Nga và Ukraine. “FBI nói 40 triệu USD số tiền bị mất có nguồn gốc từ 205 trường hợp từ năm 2004 tới nay, dù họ đã từ chối đưa ra con số các trường hợp theo từng năm. Một số chuyên gia về giả mạo trong ngân hàng được phỏng vấn cho câu chuyện này nói họ biết rất ít các báo cáo về dạng tội phạm không gian mạng loại này trước nửa cuối của năm 2008”. “Tuần trước, tôi đã viết về Genlabs Corp., một hãng sản xuất hóa học ở Chino, California mà nó bị mất 437,000 USD tháng trước sau khi bọn trộm đã đột nhập thành công dù thực tế là ngân hàng của hãng này - California Bank & Trust - yêu cầu người sử dụng gõ vào mật khẩu của họ trong sự bổ sung thêm vào đầu ra từ một khóa fob mà nó sản sinh ra một con số mới có 6 chữ số mỗi 60 giây”. “Chỉ riêng trong tháng 9 này, tôi đã biết về ít nhất 20 trường hợp đã không được công bố trước đó trong đó bọn tin tặc đã cố gắng lấy đi tổng cộng hơn 3.3 triệu USD từ những tổ chức vừa và nhỏ trên khắp đất nước”. “Những nạn nhân khác đã không phục hồi được tí gì, và ở trong một loạt hoàn cảnh sẽ kiện các ngân hàng của họ để khôi phục lại một số những gì đã mất”. Không rõ các ngân hàng có dịch vụ ngân hàng trực tuyến tại Việt Nam thì có những biện pháp gì để bảo vệ các khách hàng của họ và bảo vệ chính họ nhỉ?
Bọn tội phạm không gian mạng đã ăn cắp ít nhất 40 triệu USD từ các doanh nghiệp vừa và nhỏ ở khắp nước Mỹ trong một kiểu tinh vi những ngày một gia tăng và thông dụng đối với việc giả mạo ngân hàng trực tuyến, FBI nói tuần này.
Theo FBI và các chuyên gia về giả mạo khác, những kẻ đột nhập đã đánh theo những chiến thuật cơ bản y như nhau trong từng cuộc tấn công. Chúng ăn cắp các ủy quyền ngân hàng trực tuyến của các nạn nhân với sự trợ giúp của các phần mềm độc hại được phân phối thông qua spam. Những kẻ thâm nhập sau đó khởi tạo một loạt các giao dịch ngân hàng không được quyền ra khỏi tài khoản trực tuyến của công ty, chúng được chỉ định để viết nó (trừ đi một khoản hoa hồng nhỏ) thông qua các dịch vụ như là MoneyGram hoặc Western Union, thường đối với các nhóm tội phạm có tổ chức hoạt động tại các quốc gia như Moldova, Nga và Ukraine.
Steve Chabinsky, phó giám đốc của Bộ phận Không gian mạng của FBI, nói bọn tội phạm đã tham gia trong những cuộc ăn cắp các tài khoản trực tuyến này đã định ăn cắp ít nhất 85 triệu USD từ hầu hết các doanh nghiệp vừa và nhỏ, và đã thực hiện được thành công khoảng 40 triệu USD trong số tiền này.
Thông thường, FBI không hứng thú bàn về những thiệt hại, hoặc ngay cả nhận biết được sự tồn tại cảu từng trường hợp cụ thể.
Hơn nữa, cơ quan này rất chú ý tránh việc đưa ra bất kỳ tuyên bố nào mà nó có thể gây sợ hãi cho những người tiêu dùng hoặc các doanh nghiệp đối với việc kinh doanh ngân hàng trực tuyến. Nhưng Chabinsky nói FBI đang tiến hành một bước không bình thường đối với những số tiền bị mất đang trôi nổi để gây chú ý cho những ai bị rủi ro nhất sao cho họ có thể áp dụng những biện pháp bảo vệ an toàn.
“Chúng tôi không tin có lý do cho một cuộc khủng hoảng niềm tin trong ngân hàng trực tuyến, nhưng chúng tôi muốn chắc chắn chúng tôi gửi thông điệp này sớm trước khi điều này trở thành một vấn đề lớn hơn nhiều”, Chabinsky đã nói cho Security Fix trong một phỏng vấn hôm thứ tư. “Mối quan tâm của chúng tôi là việc những con số này sẽ gia tăng nếu chúng tôi không giáo dục cho mọi người bây giờ để tiến hành các biện pháp phòng ngừa, và nếu chúng tôi có thể tóm cổ được một số mầm mống này, không chỉ sẽ làm giảm đi vấn đề này, mà nó sẽ phục vụ như một sự ngăn chặn làm nhụt chí đối với sự mở rộng của các kẻ xấu thấy điều này như một cách dễ dàng để kiếm tiền”.
FBI nói 40 triệu USD số tiền bị mất có nguồn gốc từ 205 trường hợp từ năm 2004 tới nay, dù họ đã từ chối đưa ra con số các trường hợp theo từng năm. Một số chuyên gia về giả mạo trong ngân hàng được phỏng vấn cho câu chuyện này nói họ biết rất ít các báo cáo về dạng tội phạm không gian mạng loại này trước nửa cuối của năm 2008.
“Có thể đã từng có những trường hợp về dạng tội phạm đặc biệt này trước năm 2009, nhưng các cuộc tấn công như thế này và với số lượng này thực sự chỉ nổi lên vào cuối năm ngoái”, Rayleen Pirnie, giám đốc cao cấp về giảm nhẹ giả mạo và rủi ro tại EPCOR, một hội phi lợi nhuận mà nó đưa ra các khóa đào tạo và giáo dục về quản lý rủi ro trong thanh toán đối với các cơ quan tài chính, nói.
Các công ty mà ngân hàng trực tuyến có được một chút bảo vệ có thể có khả năng đối với các khách hàng. Những cá nhân mà họ có tài khoản ngân hàng trực tuyến của họ bị lấy sạch vì virus máy tính ăn cắp mật khẩu thường được thực hiện hoàn toàn bởi ngân hàng của họ (miễn là họ không chờ hơn 10 ngày làm việc trước khi thông báo về sự giả mạo này). Các doanh nghiệp thường không may mắn và phải chịu mất mát.
Cyber criminals have stolen at least $40 million from small to mid-sized companies across America in a sophisticated but increasingly common form of online banking fraud, the FBI said this week.
According to the FBI and other fraud experts, the perpetrators have stuck to the same basic tactics in each attack. They steal the victim's online banking credentials with the help of malicious software distributed through spam. The intruders then initiate a series of unauthorized bank transfers out of the company's online account in sub-$10,000 chunks to avoid banks' anti-money-laundering reporting requirements. From there, the funds are sent to so-called "money mules," willing or unwitting individuals recruited over the Internet through work-at-home job scams. When the mules pull the cash out of their accounts, they are instructed to wire it (minus a small commission) via services such as MoneyGram and Western Union, typically to organized criminal groups operating in countries like Moldova, Russia and Ukraine.
Steve Chabinsky, deputy assistant director of the FBI's Cyber Division, said criminals involved in these online account takeovers have attempted to steal at least $85 million from mostly small and medium-sized businesses, and have successfully made off with about $40 million of that money.
Normally, the FBI isn't eager to discuss losses, or even acknowledge the existence of specific cases. What's more, the agency is keen to avoid making any statements that might spook consumers or businesses away from online banking. But Chabinsky said the FBI is taking the unusual step of floating financial loss figures in order to grab the attention of those most at risk so they can adopt safeguards.
"We don't believe there's cause for a crisis of confidence in online banking, but we want to make sure we message this early before this becomes a much larger problem," Chabinsky told Security Fix in an interview Wednesday. "Our concern is that these numbers will grow if we don't educate people now to take precautions, and if we could nip some of this in the bud, not only will it lessen the problem, but it will serve as a deterrent to the extent the bad guys see this as an easy way to make money."
The FBI said the $40 million loss figure stems from some 205 cases that date back to 2004, though it declined to offer a year-by-year breakdown of those cases. Several bank fraud experts interviewed for this story said they were aware of very few reports of this type of cyber crime before the latter half of 2008.
"There may have been a handful of cases of this specific type of crime before 2009, but attacks like this and in this volume really only picked up toward the end of last year," said Rayleen Pirnie, senior manager for fraud and risk mitigation at EPCOR, a not-for-profit association that offers payment risk management education and training to financial institutions.
Companies that bank online enjoy few of the protections afforded to consumers. Individuals who have their online bank account cleaned out because of a password-stealing computer virus usually are made whole by their bank (provided they don't wait more than 10 business days before reporting the fraud). Businesses often are not so lucky and must take losses.
Chabinsky nói các doanh nghiệp có thể tự cô lập mình khỏi dạng giả mạo này bằng việc tiến hành ngân hàng trực tuyến của họ từ một máy tính chuyên dụng, được khóa sao cho nó không được sử dụng cho việc duyệt Web hoặc thư điện tử hàng ngày. Đó là vì các phần mềm độc hại mà bọn ăn cắp sử dụng để ăn cắp tên và mật khẩu ngân hàng trực tuyến của người sử dụng thường được cài đặt khi người nhận một thư điện tử có spam mở một tệp gắn kèm bị đầu độc hoặc nháy vào một đường liên kết mà nó dẫn tới một webiste gài bẫy.
“Những gì chúng ta đang thấy là một xu thế hướng tới [của bọn giả mạo] lợi dụng ưu thế của đường liên kết yếu trong quá trình thực hiện ngân hàng trực tuyến, mà đó là khách hàng”, Chabinsky nói.
Trong khi nguồn lớn nhất của tính dễ bị tổn thương có thể nằm trong đầu cuối của khách hàng, thì một số chuyên gia về giả mạo tin là những kẻ thâm nhập dạng tội phạm không gian mạng này chỉ đang bị hút vào những điểm yếu ít rõ ràng hơn trong hệ thống ngân hàng trực tuyến thương mại.
Chabinsky said businesses can insulate themselves from this type of fraud by doing their online banking from a dedicated, locked-down computer that is not used for everyday Web browsing or e-mail. That's because the malicious software that thieves use to steal online banking user names and passwords typically is installed when the recipient of a spam e-mail opens a poisoned attachment or clicks a link that leads to a booby-trapped Web site.
"What we're seeing is a trend towards [fraudsters] taking advantage of the weak link in the banking process, which is the customer," Chabinsky said.
While the biggest source of the vulnerability may reside on the customer's end, some fraud experts believe the perpetrators of this type of cyber crime are merely gravitating toward less obvious weaknesses in the commercial online banking system.
Avivah Litan, một nhà phân tích về giả mạo tài chính của Gartner Inc., nói nhiều trong số các ngân hàng lớn đã lấy một trang từ các công ty thẻ tín dụng, đầu tư mạnh vào các giải pháp chống giả mạo mà nó tìm kiếm các giao dịch bất bình thường và các hoạt động khác mà nó có thể chỉ ra một tài khoản khách hàng đã bị tổn thương.
Nhưng Litan nói nhiều công ty đang là nạn nhân của dạng tội phạm ngân hàng này tại các cơ quan tài chính nhỏ và khu vực mà họ không có được các công nghệ dò tìm mẫu giả mạo. Hơn thế, bà nói, các cơ quan này đang dựa vào những lớp bảo vệ khách hàng bổ sung, như là các thẻ token an ninh - các tiếp cận mà chúng có thể dễ dàng bị phá vỡ khi máy tính của khách hàng bị bọn trộm kiểm soát.
“Nhiều cơ quan [thương mại] còn không xem xét cả các công nghệ chống giả mạo vì họ không trực tiếp bị mất khi các khách hàng doanh nghiệp của họ bị đánh”, Litan nói. “Các ngân hàng có thể lo lắng về uy tín bị mất từ những dạng sự việc như thế này, nhưng cho tới nay những cuộc tấn công này không là sự hiểu biết rộng rãi”.
Tuần trước, tôi đã viết về Genlabs Corp., một hãng sản xuất hóa học ở Chino, California mà nó bị mất 437,000 USD tháng trước sau khi bọn trộm đã đột nhập thành công dù thực tế là ngân hàng của hãng này - California Bank & Trust - yêu cầu người sử dụng gõ vào mật khẩu của họ trong sự bổ sung thêm vào đầu ra từ một khóa fob mà nó sản sinh ra một con số mới có 6 chữ số mỗi 60 giây.
Genlabs chỉ là một trong 48 nạn nhân mà tôi đã nghe từ hoặc đã gặp trong vòng 5 tháng gần đây. Trong khi không phải ai cũng đã muốn nói cho tôi tên của ngân hàng của họ, thì những người mà họ đã nên tên hầu như là phổ biến nhất là các cơ quan địa phương và vùng.
Nếu bạn xem xét lại bảng bên dưới - mà nó chi tiết hóa việc bọn trộm đã cố ăn cắp được bao nhiêu từ mỗi nạn nhân và bọn chúng đã ăn cắp được bao nhiêu từ đó - thì bạn sẽ để ý thấy rằng một vài con số trong cột “con số không được rõ” có tổng là 0 USD. Gần như tất cả những trường hợp này, nạn nhân đã tiến hành làm việc với ngân hàng tại một cơ quan rất nhỏ, dạng mà ở những nơi mà các nhân viên hình như còn biết được các khách hàng của mình bằng tên và bằng mắt.
Lấy ví dụ vụ của Holdiman Motor, một hãng bán lẻ ô tô tại Cedar Falls, Iowa. Đầu năm nay, các tin tặc đã có khởi động một loạt vụ chuyển tiền lương giả mạo tổng cộng 60,000 USD tới một vài cá nhân mà hãng này không bao giờ kinh doanh trước đó, ông chủ Tom Holdiman dã nói những kẻ thâm nhập đã thất bại vì ngân hàng của hãng này - Lincoln Savings Bank - đã để ý thấy rằng thời gian của các giao dịch là không bình thường và đã cảnh báo cho người kiểm soát của Holdiman.
“Với những ngân hàng khác bạn chỉ là một con số”, Holdiman nói. “Điều đó giải thích vì sao chúng tôi đi với họ”.
Trong 48 cuộc tấn công mà tôi đã khẳng định kể từ tháng 5, bọn trộm đã cố gắng ăn cắp hơn 7,3 triệu USD từ những tổ chức này. Trong nhiều trường hộp, tôi đã không thể biết được có bao nhiêu nạn nhân thực sự đã bị mất tiền. Một số lượng các công ty đã nói cho tôi họ đã không muốn bị xác định ra bằng tên, và đã không trả lời cho các yêu cầu cho những cuộc phỏng vấn tiếp sau. Một số công ty là nạn nhân mà họ đã gặp phải sự giả mạo đủ sớm đã có khả năng để làm việc với ngân hàng của họ để rút ra một số hoặc tất cả số tiền bị ăn cắp. Những nạn nhân khác đã không phục hồi được tí gì, và ở trong một loạt hoàn cảnh sẽ kiện các ngân hàng của họ để khôi phục lại một số những gì đã mất.
Dù vậy, rõ ràng là các câu chuyện đã được xuất bản ở đay đã khuyến khích nhiều hơn và nhiều hơn các nạn nhân tiến lên phía trước. Chỉ riêng trong tháng 9 này, tôi đã biết về ít nhất 20 trường hợp đã không được công bố trước đó trong đó bọn tin tặc đã cố gắng lấy đi tổng cộng hơn 3.3 triệu USD từ những tổ chức vừa và nhỏ trên khắp đất nước.
Bên dưới là bảng chỉ ra những thực thể là nạn nhân mà tôi đã khẳng định được trong vòng 5 tháng qua. Cũng bảng đó - bao gồm tổng số tiền bị mất cộng dồn theo từng tháng - là sẵn sàng trong định dạng Excel và HTML.
Một số nạn nhân chỉ được xác định bởi lĩnh vực công nghiệp của họ hoặc đặc biệt để dành cho sự nặc danh của họ. Nếu một tên nạn nhân mà có siêu liên kết, thì các độc giả có thể nháy vào đường liên kết đó để đọc một bài viết trên blog của Security Fix trước đó mà có nhắc tới về sự việc đặc biệt của họ.
Avivah Litan, a financial fraud analyst with Gartner Inc., said many of the largest banks have taken a page from the credit card companies, investing heavily in anti-fraud solutions that look for transaction anomalies and other activity that may indicate a customer's account has been compromised.
But Litan said many companies being victimized by this type of crime bank at small and regional financial institutions that do not have fraud pattern detection technologies in place. Rather, she said, these institutions are relying on additional layers of customer protections, such as security tokens - approaches that can easily be subverted when the customer's computer is under control of the thieves.
"Many [commercial] institutions aren't even looking at new anti-fraud technologies because they don't take the direct loss when their business customers get hit," Litan said. "Banks may be worried about the reputation loss from these kinds of incidents, but so far these attacks aren't widespread knowledge."
Last week, I wrote about Genlabs Corp. a Chino, Calif. chemical manufacturing firm that lost $437,000 last month after thieves broke into the company's bank account and sent transfers to roughly 50 different money mules. The attackers succeeded despite the fact that the company's bank -- California Bank & Trust -- requires the user to enter their password in addition to the output from a key fob that generates a new six-digit number every 60 seconds.
Genlabs was just one of 48 victims I have heard from or reached out to over the past five months. While not everyone was willing to tell me the name of their bank, those that did almost universally named local and regional institutions.
If you review the chart below -- which details how much the thieves tried to steal from each victim and how much they made off with -- you'll notice that several of the figures in the "amount unrecovered" column total $0. In nearly all of those cases, the victim banked at a very small institution, the kind where employees apparently still know their customers by name and by sight.
Take the case of Holdiman Motor, a car dealership in Cedar Falls, Iowa. Earlier this year, hackers tried to initiate a series of bogus payroll transfers totaling $60,000 to several individuals the company has never done business with before. Owner Tom Holdiman said the perpetrators failed because the company's bank -- Lincoln Savings Bank -- noticed that the timing of the transactions was unusual and alerted Holdiman's controller.
"With the other banks you're just a number," Holdiman said. "That's why we're with them."
In the 48 attacks I've confirmed since May, thieves attempted to steal more than $7.3 million from these organizations. In many cases, I was unable to learn how much victims had actually lost. A number of companies told me they did not want to be identified by name, and have not responded to requests for follow-up interviews. Some victim companies that spotted the fraud early enough were able to work with their bank to retrieve some or all of the stolen funds. Other victims recovered nothing, and are in various stages of suing their banks to recover some of the losses.
Nevertheless, it is clear that the stories published here have encouraged more and more victims to come forward. In the month of September alone, I learned of at least 20 previously unpublicized cases in which hackers tried to take a total of more than $3.3 million from small- to mid-sized organizations across the country.
Below is a chart showing the victim entities that I have confirmed over the past five months. That same chart -- including monthly and cumulative dollar loss totals -- is available in Excel and HTML format. Some victims are identified only by their industry or specialty to preserve their anonymity. If a victim's name is hyperlinked, readers can click the link to read a prior Security Fix blog post that includes mention of their specific incident.
Dịch tài liệu: Lê Trung Nghĩa
letrungnghia.foss@gmail.com