2017年5月3日

Swift為何屢遭黑客入侵?


來源:華爾街日報
日期:2017/05/02 15:53

環球銀行間金融通信系統(Society for Worldwide Interbank Financial Telecommunications, 簡稱Swift)每天處理全球數百萬銀行支付指令的設施戒備森嚴,具有“007”級別的安保措施。

Swift弗吉尼亞州庫爾佩珀運營中心的訪客稱,在抵達該運營中心後,武裝警衛對他們的汽車後備箱進行了檢查,並利用鏡子檢查了汽車底盤下方。中心內部的安全程序包括一次指紋掃描和一次化學武器檢測,在限制級別最高的區域還需進行一次虹膜掃描。

Axletree Solutions Inc.的首席執行長Mohan Murali說,它就像諾克斯堡(Fort Knox)。Axletree Solutions向銀行和企業提供Swift連接服務。



但這裡並不是竊賊們的目標。過去一年裡,一連串網絡襲擊攻破了Swift防衛不那麼嚴密的周界上的幾家銀行,動搖了人們對Swift的信心。銀行通過Swift網絡進行跨境支付交易。雖然Swift盡責地守護住了該網絡的核心,但是其客戶銀行的安全性主要由其自身負責,這就為黑客們創造了機會。

此前網絡攻擊的目標包括印度、越南、厄瓜多爾和孟加拉國的銀行。竊賊已從孟加拉國央行和厄瓜多爾的一家商業銀行總共盜走了大約9,000萬美元。其他一些網絡攻擊未獲得成功。

該事件的知情人士稱,這個詭計的簡單程度令人震驚:孟加拉國央行遭竊案背後的網絡罪犯利用惡意軟件竊取銀行代碼,然後發出虛假的轉賬命令。

上述網絡攻擊也威脅了銀行數十年以來對Swift的信任,Swift運營著銀行間的國際通訊服務。各銀行利用該服務通知其他銀行需要完成的事情,這讓Swift成為全球銀行體系的命脈,而每天有數萬億美元的資金在全球銀行間流動。

從2010年至2016年間擔任Swift董事的Marcus Treacher稱,Swift沒有關注其核心網絡外部針對客戶的網絡攻擊。Treacher現在是業務與Swift類似的數字支付初創公司Ripple的一名高管。

審視Swift的文化和行為,包括對十幾名Swift前雇員或密切合作者進行的採訪顯示,Swift在面對黑客時代的一些最嚴峻挑戰方面準備不足。

這些人表示,Swift對使用其網絡的銀行所制定的安全準則包括在一本內容為8G的手冊中,但這些準則很少被執行。這就留下了漏洞,讓黑客得以侵入孟加拉國的計算機系統並竊取了其登入Swift的密碼並發送虛假信息,試圖通過Swift網絡轉移近10億美元資金。過去一年Swift受到的黑客攻擊總量未對外公布。

此後Swift收緊了安全標準,並在4月為客戶發布了新規,但現在還不好說Swift的客戶對減少漏洞、防范攻擊的重視程度有多高。

Swift曾表示,對網絡攻擊的規模感到驚訝,緊急加強了系統的防御性能,並仍對整體安全性充滿信心。Swift曾反復表示,其核心的網絡──包括位於弗吉尼亞州堅如堡壘的設施──並未被侵入。該機構說,客戶仍要對自己的計算機安全負首要責任。

Swift首席執行長Gottfried Leibbrandt在一份聲明中說,盡管客戶仍對確保自身環境安全負責,但該機構正盡一切努力,利用一切資源,投入於客戶安全項目,目的在於幫助客戶提高其安全性,防止此類欺詐的發生。

在去年發生孟加拉央行在紐約聯邦儲備銀行的賬戶失竊案之後,他在接受採訪時說,該機構知道網絡風險對該行業來說事關重大,出大事只是時間遲早的問題,但他並未料到會以這種形式發生。

據去年夏天出席行業組織新加坡銀行公會(Association of Banks in Singapore)一次會議的一位人士透露,Swift的一位高管在此次會議上表示,Swift正在調查26起企圖對銀行客戶進行網絡攻擊的事件。Swift發言人Natasha de Teran對該說法不予置評。

在多次敦促客戶遵循自願指導方針之後,Swift推出了一系列強制性安全措施,引入一個新系統來幫助客戶識別和阻止可疑支付,目前正要求客戶每年提供保証其自身安全的証明。Swift還警告銀行稱,如果銀行不遵守上述規定,那麼他們將向監管機構報告。

去年10月份,Swift將其安全團隊的規模擴大了兩倍,並從德意志銀行(Deutsche Bank AG, DB)聘請了一位新的首席信息安全長。

與此同時,網絡犯罪分子把目標放在從消費者醫保檔案到美國電力網等一切事物上。知情人士稱,瑞士檢方認為,孟加拉國央行賬戶被竊可能是朝鮮的精心設計。目前還沒有提起任何指控。朝鮮常駐聯合國代表團未回應記者的置評請求。

Swift可能需要更長時間來完全挽回客戶信心。紐約聯邦儲備銀行已停止僅根據Swift信息進行支付,並且採取了一項政策,即通過電話對孟加拉國的指令進行雙重確認。

據《華爾街日報》(The Wall Street Journal)見到的一封信顯示,紐約聯邦儲備銀行的一位官員去年6月份曾抱怨這項安排不可持續。目前尚不清楚這項政策是否依然有效。紐約聯邦儲備銀行不予置評。

2 則留言:

Blogger 提到...

Invest in Ripple on eToro the World's Best Social Trading Network!

Join millions who have already found better strategies for investing in Ripple...

Learn from profitable eToro traders or copy their positions automatically.

Blogger 提到...

YoBit lets you to claim FREE COINS from over 100 distinct crypto-currencies, you complete a captcha one time and claim as much as coins you need from the available offers.

After you make about 20-30 claims, you complete the captcha and keep claiming.

You can press CLAIM as much as 30 times per one captcha.

The coins will stored in your account, and you can convert them to Bitcoins or USD.