Глава центробанка Бангладеш Атиур Рахман [Atiur Rahman] подал в отставку после того, как в начале февраля 2016 года хакерам удалось увести $81 миллион с банковского счёта ЦБ, находившегося в распоряжении Федерального резервного банка США. При этом правительство Бангладеш узнало о происшествии не от главы ЦБ, а из газет.
Дерзкое ограбление
По заявлению менеджеров высшего звена, работавших в банке, для совершения операции хакеры вначале нашли уязвимость в защите внутренней сети ЦБ Бангладеш, разыскали и украли оттуда ключи и другие данные, необходимые для совершения сделок, а также изучили процедуры работы банка. Судя по комментариям нанятой банком для расследования инцидента компании FireEye Inc, на компьютерах работников банка было установлено шпионящее за сотрудниками ПО.
После этого хакеры отправили несколько десятков запросов в ФРБ с поручениями о переводе миллионов долларов со счёта ЦБ Бангладеш на несколько счетов, находящихся в банках Филиппин и Шри-Ланки. В сумме по всем запросам хакеры пытались перевести на подставные счета почти миллиард долларов.
Роковая ошибка
Успешно обработано было четыре запроса на сумму $81 миллион, отправлявшие деньги на Филиппины. Ещё один запрос в $20 миллионов был сделан для отправки денег на счёт в Шри-Ланке. Но в последнем запросе хакер допустил опечатку, и вместо перевода на счёт фонда Shalika Foundation попытался отправить их на счёт Shalika Fandation. Из-за ошибки банк-посредник Deutsche Bank отправил запрос в ЦБ Бангладеш с просьбой подтвердить транзакцию.
В ФРБ утверждают, что примерно в тот же момент большое количество необычно крупных переводов подало сигнал системе безопасности банка, после чего они также связались с ЦБ Бангладеш для подтверждения.
В результате $20 миллионов, направлявшиеся в Шри-Ланку, были возвращены, а $81 миллион в Филиппинских банках хакеры успели перевести дальше.
Проблема с принтером
Для работников центрального банка Бангладеш эта история началась с проблем с принтером, который по ночам в автоматическом режиме должен распечатывать операции, проведённые по международной системе SWIFT. В пятницу 5 февраля директор банка обнаружил, что транзакции не распечатались, а принтер не отвечает. Он поручил сотрудникам разобраться с оргтехникой, а сам отправился домой, ибо пятница в Бангладеш считается выходным днём.
В субботу, когда директор пришёл на работу, проблема не решилась — оказалось, что не работает уже сам терминал SWIFT. На терминал выводилась ошибка «A file is missing or changed». После того, как работникам удалось перезагрузить терминал и заставить его работать, они и обнаружили запросы от ФРБ по поводу 46 подозрительных платёжных поручений.
Но поскольку суббота и воскресенье были выходными днями для ФРБ, связаться с официальными лицами банка удалось лишь в понедельник.
Итоги операции
Правительство Бангладеш обвиняет ФРБ в том, что они не остановили вовремя подозрительные операции. ФРБ отвечают на обвинения в том ключе, что хакеры взломали не их банк, транзакции были подтверждены реальными ключами, и что ФРБ активно работает с ЦБ Бангладеш с момента происшествия.
К расследованию подключилось и управление развлечений и азартных игр Филиппин, поскольку $81 миллион, судя по всему, был переведён на счета тамошних казино.
Комментарии (46)
Didurov
17.03.2016 20:58-5Случись такое у нас, думаю, нам не рассказали бы)))
sim31r
18.03.2016 13:13https://lenta.ru/news/2015/07/27/sberbank/
…
Со счетов 100 тысяч клиентов Сбербанка похищено в общей сложности более 2 миллиардов рублей, сообщил агентству FlashNord источник в полиции. Все средства были украдены у владельцев устройств под управлением Android, использовавших приложение «Сбербанк Онлайн» для смартфонов и планшетов.
В управлениях МВД по регионам Северо-Западного федерального округа факты многочисленных хищений подтвердили, утверждает издание. Представители «Сбербанка» также сообщили, что знают о произошедшем, но отрицают настолько массовый характер.
pnetmon
18.03.2016 16:18так это обычные жители России, а не косяк ЦБ
sim31r
21.03.2016 00:14Есть статья про хищение миллиарда из самого ЦБ, но не нашел, она старее и затерлась новыми событиями. Суть в том что в пятницу вечером зашли мошенники с поддельными документами и перевели миллиард на офшорные счета. В выходные сотрудники банка не работали, деньги уходили без присмотра.
pnetmon
21.03.2016 08:44Было такое. Официальная версия была — что пришли в расчетный центр Центрабанка (или другой орган ЦБ) мошенники и предоставили операционисту поддельные документы.
НО это были не деньги ЦБ, а деньги организации находящиеся на счете в расчетном центре ЦБ.
Деньги не могли уходить без присмотра в выходные — ЦБ и его структуры не работают в выходные. (Точнее так было в то время)
А если брать мошенничество через ЦБ — была раньше распространены схемы через авизо и раньше некоторые военнослужащие могли единовременно получать деньги в отделениях ЦБ.
pnetmon
17.03.2016 22:22+3Шутка, а то кто их знает… съэкономили копейки на SMS информировании. По тексту небыло другого канала информирования на случай взлома рабочего места.
К операции готовились — провели перед выходными (пятница — выходной) Но почему вышедшая в пятницу дежурная смена в том числе управляющий (директор) (иначе что за люди работающие в выходной) не решила проблему в тот день…
corvus
18.03.2016 00:30+2Радует другое: деньги ЦБ суверенной и независимой страны Бангладеш, находящиеся в распоряжении Федерального резервного банка США.
lexx_v11
18.03.2016 01:34+2Возможно, это вклад под проценты, а возможно, не такая уж она суверенная и независимая.
encyclopedist
18.03.2016 01:35+4Извините, но все страны хранят свои резервы в банках и ценных бумагах других стран, тут других вариантов быть не может. И конечно не в одном, а во множестве одновременно. Суверенная и независимая Россия тоже хранит большую часть своих резервов в США.
5oclock
18.03.2016 09:25А можно поподробнее — почему других вариантов быть не может?
США, самая суверенная страна на планете — тоже хранит свои запасы в чужих банках?
Ценные бумаги — это другое. Это — диверсификация резервов. Это понятно.
А вот обычные деньги — зачем свои деньги хранить в другой стране?
TimsTims
18.03.2016 10:01+2Не просто в другой стране, а в разных странах. Поговорка «не клади все яйца в одну корзину» — всегда актуальна у финансистов. В любое время любая страна может вдруг начать с кем-то воевать, или просто перестать существовать. Нет ни одной страны, которая не подвержена этому риску.
Даже на США чисто теоретически может в любой момент упасть огромный метеорит, и все сбережения вашей страны просто исчезнут. Поэтому, чтобы была некая страховка на этот случай — деньги и хранят в разных местах, просто чтобы их сберечь.5oclock
18.03.2016 10:26Вот именно потому, что "любая страна может вдруг..." — странно хранить свои деньги в другой стране, кроме как в самой лояльной — своей стране.
Я говорю о суверенных деньгах государства, деньгах "центрального банка".
Коммерческие банки — понятно: хранят свои деньги там где удобно, выгодно, безопасно.
Но государство почему должно хранить свои деньги за рубежом?lazyranma
18.03.2016 11:23Вы путаете ЦБ и государство (правительство). Правительство обычно хранит деньги в ЦБ или в каком-нибудь специальном подконтрольном ЦБ банке.
ЗВР — это резервы ЦБ, а не правительства. Единственное их предназначение — это стабилизация национальной валюты. Внутри страны их использовать невозможно, так как внутри используется национальная валюта, эмитируемая ЦБ.5oclock
18.03.2016 11:34Я под государством привык считать все государственные институты, а не только правительство.
Но в данном случае речь не о правительстве, а о ЦБ: он хранит "все деньги страны". По-крайней мере безналичные.
И вот странна ситуация, когда оказывается, что ЦБ на самом деле хранит деньги не суверенно, а под контролем каких-то структур, да ещё и иностранных.
А почему ЦБ не может использовать внутри страны валютные резервы? Очень даже использует. Как-раз для выполнения своей функции: обеспечения стабильности национальной валюты.lazyranma
18.03.2016 11:44+1Национальную валюту ЦБ хранит у себя, иностранную валюту — у ЦБ эмитента этой валюты. В чём проблема-то?
Я имею в виду, что за иностранную валюту нельзя построить станок внутри страны, можно только купить его в другой стране. Это уже внешняя экономическая деятельность.
encyclopedist
18.03.2016 11:40+1Потому что доверять хранителю счёта должны не только вы, но и ваш контрагент. Весь вмысл "счёта" в том что он держится у доверенной третьей стороны. Для граждан это банк, для банков — это центробанк (и другие банки), для центробанков и правительств — это центробанки других стран. И так уж сложилось, что Соединённым Штатам доверяет наибольшее количество других стран, поэтому там удобно держать государственные счета.
lazyranma
18.03.2016 11:19+1США не хранит свои запасы в чужих банках, потому что у США нет запасов.
"Обычные деньги" составляют лишь малую часть ЗВР и используются не для хранения, а для покупки/продажи нац. валюты, золота или ценных бумаг. То есть это такой кэш и финансовом, и в компьютерном смысле слова.
У всех банков, желающих хранить иностранную валюту, открыт корр. счёт в иностранном ЦБ (или в иностранном банке, у которого открыт корр. счёт в ЦБ). Безналичные деньги всех банков в конечном итоге всё равно хранятся на счетах ЦБ — эмитента валюты. Хранить иностранную валюту в национальном банке нет смысла, так как он будет просто лишним посредником между ЦБ двух стран. Который к тому же может обанкротиться, и плакали резервы, как это случилось с Lehman Brothers.
ФРБ — это ЦБ США (ну, или один из 12 ЦБ).5oclock
18.03.2016 11:26Т.е.: на США падает огромный метеорит, информационная система его "ЦБ" рушится и весь мир лишается безналичных долларов?
А у самих штатов — серьезно, нет ЗВР?lazyranma
18.03.2016 11:35Да, лишается. Как минимум на время, пока не восстановится инфраструктура ФРС.
Вообще есть, но по сравнению с размером экономики числа смешные, 118 млрд, из них 50 — СДР, 11 — золото, 22 — ценные бумаги в иностранной валюте, 18 — кэш, 17 — вклад в МВФ.
http://www.imf.org/external/np/sta/ir/IRProcessWeb/data/usa/eng/curusa.htm
Эмитенту мировой валюты резервы не нужны.
wordwild
18.03.2016 18:30ЦБ Бангладеш хранил в ФРС часть золотовалютных резервов, составляющих 30 млрд. долларов. Чему тут радоваться-то? Так полмира делало. Обычная финансовая мировая практика ещё каких-нибудь 3-4 года назад.
coturnix19
18.03.2016 18:30По моему, все фиатные деньги существуют либо в бумажном виде, либо на коррсчетах соответствующих центробанков.
eugzol
18.03.2016 04:39> а $81 миллион в Филиппинских банках хакеры успели перевести дальше
Я думал, так только в кино бывает, а в реальной жизни полная цепочка сразу максимум за 24 часа отслеживается до конкретного банкомата, и «хакеров» берут за мягкое место. К тому же, кажется невероятным, чтобы за пару дней можно было успеть снять 81 млн наличкой — значит, деньги всё ещё где-то на счёте. А если они на счёте какого-то банка, что мешает отозвать всю цепочку переводов?
Areso
18.03.2016 06:28+1Читайте дальше — они их успели отправить в казино, казино данные о клиентах по любому чиху другой страны не выдает (поэтому подключили уже соотв. департамент), и самое главное, что казино — как миксинг для биткоинов. Вводим грязные деньги, выводим чистые за небольшой процент. Упрощенный пример, за стол сажусь я и другой человек. Проигрываю все (украденные) деньги в виде фишек. Другой человек, с честно выигранными фишками уходит. Обменивает их на деньги. Как знать, подельник ли то был или нет? Казино держит информацию кто с кем играл или нет? Да и вообще данные о клиентах.
Leo7777
18.03.2016 08:51Я думаю казино все держит и следит успешными игроками. Может это казино было совсем формальным.
shamanis
21.03.2016 08:48Работал по-юности в службе безопасности одного казино. Да, казино хранят данные о клиентах. Если человек приходил первый раз его на ресепшене фотографировали через вебку. Были игроки, которые находились в "черном списке". Мало того, в системе хранилась вся информация об оборотах конкретного игрока, т.е. путем нехитрых арифметических действий можно было подсчитать сколько человек принес денег и сколько унес.
nikitasius
18.03.2016 12:00Если кому-то посчастливится поживится такой суммой, то деньги надо выводить только через карточные счета, используя банкоматы.
Все прочее — высокий шанс заморозки на 3-6 дней.
WillSmith74
21.03.2016 13:30Это как можно снять через банкоматы 81 млн. долларов — 5,5 млрд рублей? Есть же лимиты на снятие с карты в день, 30 или 50 тысяч, сейчас не помню?
strlock
18.03.2016 14:51К операции готовились — провели перед выходными (пятница — выходной)
Все, переселяюсь в Бангладеш)
Sheti
18.03.2016 23:19Украли ключи? Странно. Я думал такие важные вещи принято хранить в железных хранилищах ключей. Да и вообще странно, что у них в ЦБ нет человека который бы ночью следил за автоматическими транзакциями. Приходить сутра и смотреть на распечатку принтера (не удивлюсь, что он матричный и печатает на рулоне) это что-то с чем-то.
ukrazzz
18.03.2016 23:36Чтобы разорить ЦБ только на стоимости бумаги, достаточно провести бесконечно большое количество операций с бесконечно малыми суммами
house2008
20.03.2016 01:54Интересная информация появилась, один из секюрити ресерчеров был похищен неизвестными людьми на джипах поздно вечером 16 марта вместе с другом, друга отпустили через несколько часов за городом, а его самого нет. Был похищен после того, как публично раскритиковал ЦБ Бангладеша (точнее критика была в адрес администратора базы данных банка). Более подробно http://news.softpedia.com/news/security-researcher-goes-missing-after-investigating-bangladesh-bank-cyber-heist-501905.shtml
maxwolf
21.03.2016 12:26Позволю себе добавить немного деталей из других публичных источников, немного дополнив их собственными измышлениями…
Во-первых, там всё было хорошо социально наинженерено. В мусульманских странах выходные — пятница и суббота, на западе — суббота и воскресенье. Плюс к этому, 8-го февраля был «китайский новый год» — официальный выходной на Филлипинах. Серьёзный задел времени.
Во-вторых, сыграла свою роль своеобразность ПО SWIFT. С одной стороны оно весьма весьма скурпулёзное в плане мер безопасности (криптография, периодические проверки собственной целостности, мощная система разграничения прав доступа...), а с другой стороны — довольно кондовое, чтобы в этих мерах безопасности реально мог разобраться средней руки сотрудник.
В-третьих, скорее всего, нужно упомянуть недостаточную квалификацию сотрудников банка, отвечающих за IT безопасность в целом.
В-четвёртых, общее разгильдяйство участников.
И в-пятых — оригинальное антиотмывочное законодательтво на Филлипинах.
Скорее всего, в банк подсадили программный троян и/или живого агента, который некоторое время собирал информацию о работе IT систем, связанных с валютными переводами через FRB NY, где у банка был долларовый счёт. Достаточно было узнать формат платежных поручений, процедуру их обработки и логины операторов, вводящих и авторизирующих платежи через свифтовый терминал.
В ночь с четверга на пятницу (с 4-го на 5-е февраля), злоумышленники послали через свифтовый терминал банка 35 платёжек на общую сумму $951M, и немного «подпортили» ПО SWIFT (в одном из источников написано, что удалили nroff.exe), так, что перестала работать печать уведомлений о проведённых платежах (и, скорее всего, через некоторое время, после проверки целостности, вообще весь терминал). При этом только 5 платежей на $101M нормально обработались в FRB, а остальные, судя по всему, оказались составлены некорректно. 4 платежа на $81M ушли в филлипинский банк, а один на $20M — в шриланкийский. Прошедшие платежи использовали названия реально финансируемых государством проектов (стороительство мостов, метро и т.п.) и не вызвали подозрений у AML системы FRB.
Работники банка фактически забили на восстановление работоспособности терминала на выходных, и не смогли (а может, не имели полномочий) обнаружить подозрительные платежи вплоть до понедельника, когда они восстановили софт из бэкапа, получили подтверждения о проведённых и не проведённых платежах, которые «никто не заказывал», и стали пытать разрулить ситуацию, не привлекая лишнего внимания (а сама история, напомню, всплыла в прессе (причём, филлипинской!) только в конце февраля). Вдобавок, сейчас обе стороны (ЦБ Бангладеш и FRB NY) кидают друг-другу «обидки», что не могли достучаться до противоположной стороны из-за выходных (в пятницу и субботу — у ЦБ, а в субботу и воскресенье — у FRB).
У платежа на Шри-Ланку, как и описано в статье, обнаружилась ошибка в названии получателя, он остановился в транзитном банке, и его, в итоге, удалось отозвать, а вот платежи на Филлипины успешно дошли до получателей. Ими оказались некие загадочные лица, открывшие свои счета чуть менее года назад, положишине на них по $500, и не использовавшие их вплоть до рассматриваемых событий. Далее деньги собрали на вновь открытом счёте, через компанию почтовых переводов конвертировали в местную валюту, и выдали кэшем компании — оператору казино.
При этом оказалось, что менеджер филлипинского банка, в ведении которого были проведённые операции, сама открыла транзитный счёт на имя одного из клиентов своего отделения без его ведома, и санкционировала переводы, уже получив распоряжение из Бангладеш на приостановку платежей. Также есть свидетели, утверждающие, что часть окэшенных денег она лично увезла на своей машине, а её адвокат заявляет, что она боялась за свою жизнь и вообще выполняла распоряжения высшего руководства своего банка… Стоит упомянуть и то, что по филлипинскому антиотмывочному закону 2001 года, его действие не распространяется на казино, а вот правила соблюдения банковской тайны весьма строгие, и именно на них, и на право не свидетельствовать против самих себя, сейчас ссылаются подозреваемые…pnetmon
21.03.2016 13:17Вот непонятна ситуация на котором в новостях заостряли внимание
http://www.reuters.com/article/us-usa-fed-bangladesh-typo-insight-idUSKCN0WC0TC
https://lenta.ru/news/2016/03/15/bangladesh/
в одном из запросов обнаружилась ошибка: там было неверно указано имя одного из получателей платежа. Deutsche Bank, через который проводились транзакции, попросил разъяснений от бангладешского регулятора
из-за орфографической ошибки. При указании получателя платежа преступники написали fandation вместо foundation.
Непонятно почему банк посредник проверяет текстовое поле получателя на орфорграфические ошибки и поэтому стопорит платеж.maxwolf
21.03.2016 17:48Тут сложно сказать наверняка. Озвучиваются две версии: одна, что платёжка-таки дошла до конечного банка в цепочке (Pan Asia Banking Corp), тот то ли не нашёл у себя такого клиента, то ли удивился размеру перевода, сигнализировал «наверх» (в Deutsche Bank), там обнаружили опечатку, и, в свою очередь, связались с ЦБ Бангладеш; вторая — что в самом Deutsche Bank обнаружили опечатку, и забили тревогу. С моей точки зрения, обе версии имеют право на жизнь.
Банковская тайна в последнее время стала весьма эфемерным понятием в виду деятельности FATF, и прочих подобных организаций. Все банки, работающие с основными мировыми валютами, обязаны реализовывать антиотмывочные (AML — Anti-Money Laundering) меры, или, говоря проще, именно с пристрастием разглядывать «текстовое поле получателя» (и, естественно, отправителя) всех проходящих через них платежей. А будет это просто сличение со списком бинладенов, или что-то более сложное — зависит от банка. Хотя, КМК, ловить орфографические ошибки в международных платежах — дело довольно стрёмное. Какое-нибудь Jabatan Bomba dan Penyelamat, вызывающее тревожные ассоциации даже у живого человека, оказывается вполне мирной частью пожарной охраны и т.п…pnetmon
21.03.2016 20:27>> именно с пристрастием разглядывать «текстовое поле получателя» (и, естественно, отправителя) всех проходящих через них платежей
В Российских условиях ранее проверяли на наличии в определенном списке реквизитов получателя чтобы забить тревогу. Притом все делается автоматически, а не в ручную.
Просто по озвученным в СМИ и этому:
«дошла до конечного банка в цепочке (Pan Asia Banking Corp)… сигнализировал «наверх» (в Deutsche Bank), там обнаружили опечатку, и, в свою очередь, связались с ЦБ Бангладеш»
получается ЦБ Бангладеша переводит деньги со счета в Федеральном резервном банке Нью-Йорка (они должны проверять получателя) в Pan Asia Banking Corp (они тоже должны проверять как получателя так и плательщика) — и каким боком тут Deutsche Bank проверяет реквизиты и стопорит проведение платежей непонятно.pnetmon
21.03.2016 20:36или почему делают упор на Deutsche Bank, а не на Федеральный резервный банк Нью-Йорка который должен связыватся со своими клиентами.
WillSmith74
22.03.2016 09:47КО: мошенники использовали цепочку переводов, для запутывания следов.
pnetmon
22.03.2016 10:12КО: Не в этом случае. В платежном документе фигурируют плательщик и получатель, в нем не фигурирует куда деньги будут переводить дальше.
pnetmon
Директор ЦБ наблюдающий за принтером и его распечатками… это сильно… Где не сталкивался — делают рядовые сотрудники и на тарелочке главбуху…
В оригиналах пишут Zubair Bin Huda, a joint director of Bangladesh Bank, а Первое лицо банка Atiur Rahman
Лента более корректно https://lenta.ru/news/2016/03/16/cbprinter/ это был управляющий — но кажется все перепутала «Ошибка в работе принтера не позволила сотрудникам Центрального банка Бангладеш заметить атаку хакеров.» — правильнее видется что хакеры сломали механизм распечатки оборотных ведомостей движений по счетам.
А в заголовке старой новости все так же «Центральный банк Бангладеш: наши деньги украдены взломщиками системы ФРС США»