高智商犯罪的銀行大盜

臺北風雨之夜的作案

2016年的一個夏日，臺灣臺北的夜幕剛剛降臨，臺風就要襲來。街道上風雨交加，市民們行色匆匆，不愿在外多做停留。然而，就在這樣的夜晚，兩個俄羅斯人卻冒著瓢潑大雨，在市區閑逛。他們都帶著鴨舌帽和遮面的口罩，看上去既不像是普通的游客，也不像是街頭的混混，身份有些可疑。

在一家銀行的自動取款機前，兩人停了下來，徘徊了好一陣子，決定要排隊取錢。在他們身后，還有一對同樣來排隊取錢的臺北夫婦。沒過多久，俄羅斯人來到了自動取款機面前，令人驚訝的一幕發生了：在沒有人觸碰、操作自動取款機的情況下，大量的現金突然從取款機內噴出，飛滿了狹窄的ATM室，在地面上堆了厚厚一層。這樣的怪事讓后面的臺北夫婦看傻了，但俄羅斯人一點都不驚訝，他們拿出背包，快速撿撈鈔票，裝滿后，在臺北夫婦驚訝的目光中，鉆進一輛黑色轎車，消失在雨夜。

其實，兩個俄羅斯人并不是來臺北揮霍積蓄、想要一夜狂歡的游客，而是盜取銀行資金的黑客犯罪集團的成員。他們在臺風夜中，因為后面排隊的臺北夫婦的舉報，終于被警方盯上了。尾隨的警方跟蹤他們來到臺北的某個車站，看著他們將裝滿鈔票的背包放在了車站的存儲柜。不多久，又有兩個俄羅斯人出現了，他們打開存儲柜，拎包走人，去往一家酒店。第二天晚上，警方終于出手，將兩人一舉抓獲。經過審訊，警方得知，這次來臺北作案的犯罪成員共有15人，統統來自一個叫做“卡巴納克”的組織。就在昨天那個風雨交加的夜晚，15人從臺北的40多個自動取款機中，盜取了8000多萬元新臺幣，約合1700萬元人民幣。

雖然抓獲兩人，但警方還是慢了一步，另外13人早已乘機飛回莫斯科了。臺北自動取款機現金被盜的案件，立刻引起了世界范圍內各個銀行和各國警方的注意，因為這表明，“卡巴納克”——這個從2013年起就一直在全世界活動的黑客集團，仍然還在犯罪，仍然還在困擾著世界金融的安全。

專家苦尋線索

“卡巴納克”犯罪集團因其使用的“Carbanak”木馬而得名，這個木馬更早的版本叫做“Anunak”，專門用于攻擊銀行的自動取款機來盜取現金。

2013年，烏克蘭的一家銀行發生了第一起這樣的案件。銀行的監控系統發現，凌晨時分，有人在自動取款機前，既不插卡也不輸密碼就取走了大量現金，但是，從賬面上來看，銀行并沒有少什么錢，也沒有任何客戶舉報丟錢了。銀行高管不知道出了什么問題，于是請來卡巴斯基實驗室的安全專家，希望他們能幫助銀行檢查一下是否有程序漏洞。

最初，安全專家懷疑是黑客用一些手持設備干擾了自動取款機，使得它的程序發生紊亂，從而向外吐錢。然而，對自動取款機做了一番檢查后，安全專家發現自動取款機沒有任何損壞，軟件沒有被侵入，硬盤上也沒有可疑記錄。后來，銀行將調查范圍擴大到了銀行內部員工，才發現了問題所在。

木馬大盜現形

不知什么時候，銀行員工開始頻繁收到一些包含惡意木馬的廣告郵件，郵件是以“自動取款機供應商”的名義發出的。銀行員工如果疏忽大意，就會很輕易的點開郵件，因為很多郵箱服務都默認不顯示郵箱地址，只顯示發件人的名稱（比如某某自動取款機供應商），不夠警惕的員工會很容易上當。在員工查看郵件的同時，木馬就會自動下載，開始感染員工的電腦。這個木馬能夠收集員工電腦上已有的數據，甚至能夠控制電腦的攝像頭，捕捉截圖，記錄電腦的瀏覽歷史。就這樣，木馬開始從銀行員工電腦里竊取機密數據，并將這些信息轉發給黑客控制的服務器。

在收集和分析工作都完成后，時機已經成熟，黑客利用盜取的信息掌握了銀行員工的許多權限，就可以達成許多目的。比如，憑空創造虛假的賬戶和不存在的虛假交易，提升現有賬戶的余額，然后將錢取出來，讓最終賬戶的數據和原始數據保持一致，這樣，光是從賬面上來看，就不會有人發現錢少了。又比如，得到錢的更簡單的方法就是，黑客遠程控制銀行，給自動取款機發指令，讓其吐出現鈔。如果是使用后一種方法，那么作案就需要一個團隊了：需要行動的指揮者，需要提供和實施技術的程序員，還需要最后把錢取走、風險也最大的取錢人員（比如被臺北警方抓獲的俄羅斯人）。

當然，無論制作虛假賬戶，還是線下取錢，犯罪者都需要把贓款洗干凈。他們可以用常見的方法來洗錢，比如賭博、買車、買房、買股票，或者將贓款轉換成數字貨幣。從選定銀行目標、盜取數據到踩點取錢、洗錢善后，一次完整的行動花費的時間可能長達數月，需要科技開路、精心策劃——這樣的行為，算得上是典型的高科技犯罪手法了。

警方展開全球打擊

從2013年起，銀行與“卡巴納克”黑客集團的戰爭就展開了。

2014年秋天，在卡巴斯基實驗室的提議下，歐洲銀行網絡安全小組與花旗銀行、德意志銀行以及其他跨國大銀行召開了針對“卡巴納克”的會議。卡巴斯基實驗室的專家在歐洲刑警組織總部的會議室里，向這些銀行介紹了烏克蘭案件的始末，呼吁大家聯合起來對付“卡巴納克”。

于是，銀行技術人員們建立了實驗室，分析了“卡巴納克”的惡意木馬，想辦法追蹤木馬的最初來源，以及到底都被誰使用過。這時，銀行高管們才第一次真正意識到“卡巴納克”的可怕。2014年，全世界已經有超過40個國家、100多家銀行的信息系統中發現了“卡巴納克”木馬痕跡。這個黑客集團，已經從這100多家銀行和私人賬戶中，盜取了超過12億美元的資金。這無疑是有史以來最大的銀行搶劫案了。更糟糕的是，卡巴納克還在繼續偷盜，銀行損失的資金還在增加。

事態嚴重，警方的調查和打擊卻一直都進展艱難，因為“卡巴納克”不停地更新換代升級，2016年，“Carbanak”木馬升級到第三代——“Cobalt”，更加隱蔽。不過，警方慢慢意識到，不管木馬的能耐有多大，最后取錢還是需要犯罪集團中的成員親力親為——這些取錢的人便是破案的突破點。臺北案件之后，2017年初，西班牙馬德里市發生一起類似案件，黑客從自動取款機拿走了400萬美元。歐洲警方根據監控錄像順藤摸瓜，打探消息，終于在2018年初抓獲了“卡巴納克”集團非常重要的一名黑客。

被抓捕的黑客名叫丹尼斯·卡塔納，是烏克蘭人，他“經營”著一個四人組的小型偷盜團隊：一人負責向銀行發送木馬，一人負責竊取銀行數據庫資料，一人負責消除犯罪的“痕跡”，而卡塔納本人負責統籌全局。通過偷盜，卡塔納在異國他鄉過著天堂般的日子，除了擁有一棟豪宅、兩輛豪車、一堆珠寶外，還掌握著價值1億多美元的比特幣。然而，在繳獲的離岸服務器中，警方發現了卡塔納大量的犯罪證據，后者不得不認罪。不過，卡塔納供認，“卡巴納克”集團是全球性的犯罪組織，還有很多黑客根本不認識卡塔納，卡塔納也不認識他們。所以，銀行和“卡巴納克”黑客集團的戰爭仍在繼續，警方還要繼續努力。