Cướp ngân hàng thời @ (K1): 81 triệu USD bốc hơi

(ĐTTCO) - Cảnh cướp ngân hàng kinh điển trong các bộ phim hành động thường là 4-5 tay súng đột nhập vào ngân hàng, khống chế nhân viên để vét sạch tiền mặt tại quầy. Tuy nhiên, Tuy nhiên, từ đầu năm 2016 đã nổi lên một kiểu cướp ngân hàng mới, trong đó bọn tội phạm không dùng súng ống mà lại dùng mã độc máy tính, và số tiền chúng cướp được lớp gấp hàng trăm lần so với cách cướp truyền thống.

Ngày 1-2-2016, khi các ngân hàng đóng cửa nghỉ cuối tuần ở Bangladesh, bọn tội phạm thực hiện 35 yêu cầu chuyển tiền trị giá 951 triệu USD. Trong đó, 5 giao dịch trị giá 101 triệu USD đã thành công. Những giao dịch này gửi lệnh rút tiền từ một tài khoản của Ngân hàng Trung ương Bangladesh (BOB) ở Cục Dự trữ liên bang Hoa Kỳ (FED) chi nhánh New York.

Chỉ tại lỗi chính tả

Những tên tội phạm đã xâm nhập hệ thống của BOB, quan sát cách thực hiện các giao dịch chuyển tiền, truy cập vào các thông tin của ngân hàng để chuyển tiền. Sau đó, chúng đã gửi đi 35 yêu cầu gửi tiền, với tổng trị giá gần 1 tỷ USD. Các yêu cầu có vẻ bình thường, vì nó xuất phát từ máy chủ đặt tại Bangladesh và bọn cướp đã cung cấp chính xác mã ngân hàng để xác thực các giao dịch chuyển tiền. 5 giao dịch đã trót lọt, những giao dịch sau đó bị chặn lại. Bọn cướp đã làm được tất cả công việc tinh vi và phức tạp khác, nhưng lại mắc một lỗi rất sơ đẳng về chính tả, khiến 30 giao dịch còn lại trị giá tới 851 triệu USD bị chặn đứng.

20 triệu USD chuyển đến Sri Lanka dự tính gửi tới Shalika Foundation, một tổ chức phi lợi nhuận. Nhưng các tin tặc đã ghi sai chính tả chữ “Foundation” lại viết thành "Fandation". Lỗi chính tả này khiến Deutsche Bank, một ngân hàng định tuyến trong hệ thống SWIFT, nghi ngờ và dừng các giao dịch. Kiểm tra sau đó cho thấy Shalika Foundation không có tên trong danh sách các tổ chức phi lợi nhuận đã đăng ký ở Sri Lanka. Các giao dịch sang Sri Lanka cũng bị Ngân hàng Pan Asia chú ý, vì cho rằng nó quá lớn với một quốc gia còn nghèo như Sri Lanka. Pan Asia Bank là một trong các ngân hàng gọi giao dịch từ Deutsche Bank. BOB sau đó đã thu hồi được 20 triệu USD chuyển sang Sri Lanka.

Số tiền chuyển sang Philippines được đưa vào 5 tài khoản riêng biệt tại Ngân hàng thương mại Rizal (RCBC). Điều tra về sau cho biết tất cả tài khoản này người đứng tên là giả, được mở từ ngày 15-5-2015 tại một chi nhánh của RCBC ở đường Jupiter. Sau đó, số tiền đã được chuyển tới một công ty môi giới ngoại hối để chuyển đổi sang tiền peso của Philippines, rồi quay về RCBC và tập hợp vào một tài khoản của một doanh nhân Philippines gốc Hoa. Các hoạt động này được thực hiện từ ngày 5 đến 13-2-2016.

 Điều tra

Vào ngày 8-2-2016, trong dịp Tết cổ truyền của Trung Quốc, BOB thông qua hệ thống SWIFT yêu cầu RCBC dừng hoạt động thanh toán để hoàn trả các khoản tiền, đồng thời đóng băng các khoản tiền còn lại. Vì ngày Tết Trung Quốc các ngân hàng tại Philippines không làm việc, nên thông điệp của BOB chỉ được RCBC nhận 1 ngày sau đó. Khi đó, 58,15 triệu USD đã được rút ra khỏi chi nhánh RCBC ở đường Jupiter. Vào ngày 16-2, Thống đốc BOB yêu cầu Ngân hàng Trung ương Philippines hỗ trợ trong việc thu hồi 81 triệu USD, nhưng các nỗ lực đã thất bại.

Ban đầu, BOB không tin hệ thống của họ đã bị xâm nhập. Thống đốc BOB đã mời World Informatix Cyber Security (WICS), một công ty có trụ sở Hoa Kỳ, dẫn đầu việc điều tra và đánh giá nguy hại để khắc phục. WICS đã hợp tác với Công ty FireEye’s Mandiant để điều tra. Các chuyên gia an ninh mạng đã tìm thấy phần mềm độc hại của tin tặc trong hệ thống của BOB. Các nhà điều tra cũng cho biết bọn cướp nằm bên ngoài Bangladesh. Một cuộc điều tra nội bộ của BOB phát hiện phần mềm độc hại được cài đặt trong hệ thống của ngân hàng vào khoảng tháng 1-2016, nhắm đến việc thu thập thông tin về thủ tục thực hiện thanh toán và chuyển tiền quốc tế của BOB.

Cơ quan Điều tra quốc gia Philippines (NBI) đã phát động cuộc điều tra đối với doanh nhân Philippines gốc Hoa, người bị cáo buộc đóng vai trò quan trọng trong việc rửa tiền cho các quỹ bất hợp pháp. NBI phối hợp với các cơ quan chính phủ có liên quan, như Hội đồng Chống rửa tiền quốc gia (AMLC). AMLC bắt đầu điều tra từ ngày 19-2 đối với các tài khoản ngân hàng liên kết với một nhà điều hành doanh nghiệp. AMLC đã đệ đơn khiếu nại rửa tiền ra Bộ Tư pháp đối với một giám đốc chi nhánh RCBC và 5 người chưa biết với những cái tên giả trong vụ việc. FireEye’s Mandiant và WICS cho biết bọn tội phạm rất rành rọt các thủ tục nội bộ của BOB và có thể có tay trong trong ngân hàng này. Chính phủ Bangladesh đang xem xét khởi kiện FED trong một nỗ lực để thu hồi tiền bị đánh cắp.

Ngân hàng Trung ương Bangladesh đã mất 81 triệu USD trong vụ cướp ngân hàng kiểu mới hồi tháng 2.

Tác động

RCBC cho biết sẽ không khoan nhượng với các hoạt động bất hợp pháp trong ngân hàng có liên quan vụ án. Lorenzo Tan, Chủ tịch RCBC, nói ngân hàng đang phối hợp với AMLC và Ngân hàng Trung ương Philippines liên quan đến vấn đề này. RCBC đã yêu cầu giám đốc chi nhánh tại đường Jupiter phải giải trình về các tài khoản ngân hàng giả được sử dụng để rửa tiền. Ủy ban RCBC cũng phát động một cuộc điều tra riêng biệt. Helen Yuchengco-Dee, con gái của người sáng lập RCBC Alfonso Yuchengco, sẽ đảm đương các hoạt động của ngân hàng. Ngân hàng này cũng đã xin lỗi công chúng vì có liên quan với các vụ cướp. Thống đốc BOB Atiur Rahman đã gửi thư từ chức lên Thủ tướng Sheikh Hasina ngày 15-3. Vụ việc có thể khiến Philippines bị đưa trở lại vào danh sách đen các nước chưa đủ nỗ lực trong việc chống rửa tiền. Vụ việc cũng báo động rủi ro tấn công mạng đối với các tổ chức chính phủ và tư nhân bằng cách dùng mã ngân hàng thật.

Theo phân tích, bọn tội phạm có thể tạo ra một phần mềm độc hại riêng biệt để phá vỡ hệ thống an ninh ngân hàng mục tiêu, sau đó lấy quyền truy cập vào hệ thống tin nhắn SWIFT, từ đó thực hiện các lệnh chuyển tiền đến các ngân hàng lớn (như FED New York) nơi ngân hàng nạn nhân có tài khoản. Bằng cách đó, những kẻ bên ngoài có thể đạt được quyền truy cập bất hợp pháp vào mạng SWIFT, trong khi quyền truy cập này chỉ hạn chế cho các ngân hàng và tổ chức tài chính thành viên của SWIFT.

-------------

Kỳ 2: TPBank suýt thành nạn nhân