【51CTO.com獨(dú)家快譯】罪犯們有意識地攻擊了Western Beaver County School District。

他們一直等到學(xué)校行政人員去度假才下手，然后在12月29日到1月2日這4天時間內(nèi)從兩個學(xué)區(qū)的銀行賬戶內(nèi)取走了704,610.35美元。Western Beaver的金融機(jī)構(gòu)，ESB銀行，設(shè)法挽回了一些損失，但賓夕法尼亞州學(xué)區(qū)損失了超過441,000美元。

7月9日，Western Beaver起訴ESB，試圖討回這筆錢，但安全專家說這只是近幾個月諸多令人不安的新型金融詐騙案中的一起，受害人最后常常得自己吞下苦果。

犯罪分子利用廣泛使用卻鮮有人重視的自動清算中心(Automated Clearing House, ACH)來發(fā)起攻擊。金融機(jī)構(gòu)使用這個金融網(wǎng)絡(luò)來處理直接存款，支票，帳單支付以及企業(yè)和個人之間的現(xiàn)金轉(zhuǎn)移。

據(jù)休斯頓紀(jì)事報報道，今年4月，ACH欺詐分子從得克薩斯州舒格蘭區(qū)（Sugar Land, Texas）一家名為Unique Industrial Products的進(jìn)口商的賬戶里轉(zhuǎn)走了120萬美元。他們侵入該公司的計算機(jī)，并且進(jìn)行了39筆轉(zhuǎn)賬把資金從Unique Industrial的賬戶里轉(zhuǎn)移了出去。雖然大部分的資金后來被追回，但詐騙者還是從這次攻擊中獲取了15萬美元贓款，30分鐘的忙活能掙上這么多錢可是相當(dāng)劃算了。

“ACH欺詐還在繼續(xù)增長，特別是在目前這種經(jīng)濟(jì)不景氣，失業(yè)率居高不下的情況下，”Jeffery Dertz表示。他是Blackman Kallick在安全實(shí)踐小組的合作伙伴，后者是一家總部設(shè)在芝加哥的會計和咨詢公司。

調(diào)查人員說犯罪分子通過ACH欺詐，一天可以牟利上百萬美元。在面對這類欺詐時，消費(fèi)者是受到法律保護(hù)的，但是對于公司和組織來說，就沒有那么多明確的法規(guī)保護(hù)了，所以有時候像Western Beaver這樣的受害者就只能吃啞巴虧了。

欺詐通常由有針對性的釣魚式攻擊電子郵件開始，目標(biāo)是掌管著公司的財務(wù)大權(quán)的人。通過誘騙受害人運(yùn)行軟件，打開一個有害的附件或訪問一個惡意網(wǎng)站，犯罪分子就能夠安裝擊鍵記錄軟件從而盜取銀行帳戶密碼。

“要是我能控制他們的證書，那我就有事可干了，”Robert West如是說。他是Fifth Third Bank的前首席信息安全官，現(xiàn)在是安全情報顧問機(jī)構(gòu)Echelon One的首席信息官。他認(rèn)同ACH欺詐正日益嚴(yán)重的說法。

Western Beaver的律師Alfred Steff拒絕對此作出評論，但在縣法院提交的文件里顯示，騙子利用計算機(jī)病毒侵入了校董會的計算機(jī)系統(tǒng)。

惡意軟件往往在瀏覽器內(nèi)伺機(jī)而動，等待受害者登錄到銀行的網(wǎng)站就立即行動。當(dāng)受害者隨后登錄進(jìn)去時，該軟件就創(chuàng)建新的受款人并把向他們轉(zhuǎn)錢--一旦受害人的帳戶被黑客入侵，攻擊者要做的就是一個代號以及一個賬戶號來給錢騾（money mule)發(fā)送現(xiàn)金。如果必須兩個人都簽署才能轉(zhuǎn)讓，黑客就會兩個一起攻擊。

錢騾其實(shí)也是受害者。他們通常會以為是在給跨國公司做合法的財務(wù)工作。在類似Monster.com這樣的網(wǎng)站上被聘用后，他們被告知把資金轉(zhuǎn)移到國外后他們能得到5個百分點(diǎn)的回報。而一旦銀行撤銷交易，他們就得賠償。

一些安全專家認(rèn)為，錢騾給追查帶來的困難正是使得現(xiàn)在這種欺詐數(shù)量暴漲的原因。安全廠商Trusteer估計，百分之三的用者已經(jīng)感染了金融欺詐軟件?！半y就難在從帳戶里搞到錢?！?Trusteer的首席技術(shù)官Amit Klein說。

一位正在辦案的不愿透露姓名的調(diào)查人員說，這類欺詐能盛行的部分原因是因?yàn)槠墼p性的ACH活動沒有觸發(fā)給銀行的紅色警報，尤其是涉及到一些小的地方銀行的時候?！艾F(xiàn)在問題很嚴(yán)重”他對ACH欺詐的現(xiàn)狀表示擔(dān)憂?！斑@是一個非常古老的系統(tǒng)，底層的傳輸系統(tǒng)里可能沒有多少可控制的。 ”

像Western Beaver這起案件中，就應(yīng)該有紅色警報發(fā)出。因?yàn)橥蝗辉谑フQ休假期增加了42個遠(yuǎn)在加利福尼亞州和波多黎各的領(lǐng)工資的人，而且向他們支付的金額遠(yuǎn)遠(yuǎn)超過了其它大多數(shù)人。根據(jù)法庭檔案，ESB 4天之內(nèi)收到了74個轉(zhuǎn)賬申請，這也是應(yīng)該亮起紅色警報的。

在這起訴訟中，Western Beaver指控它的銀行（ESB）沒有對未許可的請求發(fā)出警報。ESB銀行發(fā)言人還沒有就此發(fā)表評論。

銀行很難發(fā)現(xiàn)偽造的ACH交易量的原因之一，是因?yàn)橥ㄟ^網(wǎng)絡(luò)轉(zhuǎn)移的資金量相當(dāng)巨大。2002年ACH網(wǎng)絡(luò)處理了接近90億起支付，總金額超過24萬億美元。“在我所工作過的這些銀行里，我們在一兩天內(nèi)流過的資金量就相當(dāng)于自己的凈資產(chǎn)， ”West說。

Mary Gilmeister是一家為金融機(jī)構(gòu)提供與ACH相關(guān)信息的非盈利性機(jī)構(gòu)WACHA的主席，據(jù)她所說，雖然ACH欺詐有利可圖，但是并未泛濫成災(zāi)?！薄斑@一現(xiàn)象非常重要，但它現(xiàn)在并沒有對大量金融機(jī)構(gòu)造成影響， ”她說。“金融機(jī)構(gòu)現(xiàn)在會更密切地關(guān)注它，”保持相互溝通并在有欺詐行為發(fā)生時發(fā)出警告。

對于那些遭遇ACH騙局帳戶被洗劫一空了的用戶，聯(lián)邦銀行條例規(guī)定只要及時報告，就只需承擔(dān)50美元的責(zé)任。但是，對于企業(yè)和其他團(tuán)體來說，就不是這么簡單了，到底受害人是不是要自掏腰包要視銀行的具體情況而定。

這一切可能嚴(yán)重降低公眾對網(wǎng)上銀行的信任，調(diào)查人員說： “我們現(xiàn)在所討論論的小企業(yè)是美國的生命線，他們因?yàn)槭褂昧司W(wǎng)上銀行而面臨著損失五六位數(shù)資金的危險。 ”

【51CTO.COM 獨(dú)家譯稿，轉(zhuǎn)載請注明出處及作者！】