S rozvojem informačních technologií (právě letos je tomu 25 let, kdy spatřil světlo světa první osobní počítač) se do elektronické sféry pochopitelně přenášelo stále více aktivit, úkonů a dat. Výpočetní technika představovala úsporu práce, usnadnění archivace, zrychlení vyhledávání... A samozřejmě také příležitost pro útočníky, kteří si dříve mohli nechat o přístupu do trezorů a zabezpečených místností jen zdát. Maximálně tak s punčochou na hlavě a s revolverem v ruce.
Tyto ohromné možnosti brzy pochopili různí podvodníci - ale málo si je uvědomovaly banky, které nenastavily dostatečné bezpečnostní mechanizmy. Toho obratně zneužilo sedm hackerů, kteří se v roce 1988 nabourali do počítačového systému americké banky First National Bank of Chicago. Zde zjistili informace o několika zajímavých bankovních účtech. A také o tom, jakým způsobem banka ověřuje pravost zadaných příkazů.
Následně hackeři zadali tři příkazy k bankovnímu převodu částky vyšší než sedmdesát (!) milionů dolarů. Peníze měly být převedeny na dvojici účtů, vlastněných právě hackery a založených ve Vídni. Samozřejmě, že si banka takovouto transakci okamžitě ověřila. I to však měli útočníci ošetřeno: ověřování totiž probíhalo pomocí telefonických dotazů na předem dohodnutá čísla.
Tady odbočíme: dotyční útočníci měli totiž původně jako koníčka phreaking. Pokud si o tomto druhu útoků chcete přečíst více, nalistuje první letošní číslo PC WORLD Security. Jinak si stručně připomeneme, že phreak je slangový termín, vzniklý jako spojení slovíček phone (telefon, telefonní) a freak (vrtoch). Tímto termínem se označuje komunita osob, které studují, experimentují a zneužívají telefonní linky a společnosti. Dotyční hackeři disponovali přesnými znalostmi, aby mohli téměř libovolnou telefonní linku přesměrovat na téměř libovolné číslo...
Ano, hádáte správně. Zatímco bankovní úředníci vytočili ověřovací číslo příslušné transakce a domnívali se, že hovoří se správnou a pověřenou osobou, ve skutečnosti mířil hovor na linku, kterou si předem hackeři určili. Žádná jiná autentizace neexistovala, prostě stačilo "ano" po telefonu poté, co bankovní úředník zavolal na příslušné číslo.
Celý podvod zkrachoval na tom, že okradené firmy objevily ztrátu velice rychle. Ihned se rozběhlo vyšetřování, které vedlo k zadržení celého gangu. Hackeři byli obviněni a odsouzeni pro podvod, protože zákony postihující počítačovou kriminalitu v dotyčné době ještě jaksi neexistovaly.
Na další velkou elektronickou bankovní loupež jsme museli čekat sedm let, do roku 1995. Hlavním organizátorem celé akce se stal ruský matematik Vladimir Levin - a hlavní obětí newyorská pobočka americké Citibank. Přesněji její systém řízení toku peněz, který denně provede transakce za 500 mld. dolarů.
Levin při svém bankovním megapodvodu využíval jednak malý program pro hackování systémů, který údajně koupil od svého kolegy za sto dolarů. A pak využíval i znalosti přístupového hesla do bankovního systému, přičemž se nikdy nepodařilo uspokojivě objasnit, jak k němu přišel. Bezpečnostní experti se domnívají, že musel mít nějakého spojence uvnitř banky, což ale Citibank rozhodně popírá. Nicméně heslo těžko našel na ulici...
V červenci 1994 provedl Levin z počítače svého zaměstnavatele, kterým byla firma AO Saturn v Sankt Petěrburgu, první dva útoky vůči systému Citibank. Útoky měly podobu dvou příkazů k převodu: zněly na částku 26 800 a 304 000 dolarů. Transakce se vydařila a systém peníze opravdu odeslal na dvojici účtů vedených u BankAmerica. Ty měl v Kalifornii založené jistý podnikatel Jevgenij Korolkov, jinak majitel firem Primorve Corp. a Shore Corp. (obě se sídlem v San Franciscu).
Citibank záhy na špatně provedenou transakci přišla, ale nebyla schopná odhalit její příčinu. Proto uvědomila FBI, která dokonce pozvala Korolkova k výslechu. Zde se pochopitelně američtí agenti nic nedozvěděli. Krátce nato Korolkov opustil Spojené státy.
Nicméně ve spojení s Levinem zůstal a začali připravovat sérii dalších bankovních podvodů podle stejného scénáře. V Izraeli, Nizozemí a Spojených státech měli čtyři nebo pět společníků (v tomto se jednotlivé zdroje rozcházejí, nicméně v konečném důsledku všichni skončili za mřížemi). Levin zadával ze svého firemního počítače příkazy k převodům, přičemž je prováděl vždy v hluboké noci. Ani ne proto, aby ho neviděli kolegové, ale proto, aby byly zásluhou časového posunu v bance přijímány v době špičky. A aby tedy byly co nejméně nápadné.
Do října 1994 se Levin do systému Citibank připojil ještě osmnáctkrát, přičemž zadal čtyřicet příkazů k převodu peněz ve výši zhruba deseti milionů dolarů. Peníze směřovaly na účty do Kalifornie, Izraele, Finska, Německa, Nizozemí a Švýcarska. To už se ale kolem Levina začala stahovat smyčka, protože tak dlouho se chodí se džbánem pro vodu, až se ucho utrhne. S narůstajícími škodami shromažďovala americká FBI důkazy. Poté požádala o spolupráci ruské telekomunikační společnosti (nikoliv oficiální místa!), které rády vyhověly a vystopovaly Vladimira Levina. Jenomže americká strana nechtěla (nebo nemohla?) požádat o jeho vydání ruské úřady, takže trpělivě čekala, zda udělá chybu a opustí území Ruska. Chybu nakonec udělal a byl zadržen v prostorách britského letiště Heathrow. Údajně společně s několika kumpány.
Následovala akce, v jejímž rámci se podařilo zadržet i další spolupachatele a zajistit prakticky celých deset milionů dolarů. Chybělo jen nějakých 400 tisíc - což sice není málo, ale vzhledem k celkové výši lupu ani nikterak mnoho. Levin strávil kvůli legislativním průtahům třicet měsíců v britské vazbě - jeho obhájce se snažil udělat vše pro to, aby se mohl vrátit do Ruska a stanul před místním soudem. Americká strana asi opravdu měla dobrý důvod k tomu, proč nepřizvala ruská oficiální místa ke spolupráci...
Nakonec ale Levin prohrál a byl deportován do Spojených států. Zde jej odsoudili na tři roky vězení nepodmíněně a k uhrazení 240 015 dolarů škody, což byl jeho podíl na lupu. Dnes je Levin váženým ruským podnikatelem v oblasti informačních technologií.
Elektronickým bankovním lupičům ovšem neodzvonilo. Svědčí o tom i případ zveřejněný v loňském roce, kdy došlo k pokusu o krádež úctyhodných 220 milionů liber (v přepočtu asi 423 milionů dolarů - cca deset miliard Kč) z londýnské pobočky japonské banky Sumitomo Mitsui. Jen upozorňujeme, že ohledně tohoto případu je známo jen minimum detailů, neboť vyšetřování stále ještě probíhá.
Víme jen tolik, že skupina hackerů dokázala do bankovního systému dosud neupřesněným způsobem instalovat keyloggery, snímače stisknutých kláves. To jsou sledovací programy, které monitorují všechny aktivity na klávesnici - samozřejmě včetně zadávaných přihlašovacích jmen a hesel. S takto získanými informacemi se hackeři pokoušeli napojit na bankovní systém a zadat příkazy k finančním transakcím.
Někdy v říjnu 2004 zaregistrovala banka ve svém počítačovém systému podezřelé aktivity a uvědomila britskou Národní jednotku pro boj s technologickou kriminalitou (National Hi-Tech Crime Unit; založena v dubnu 2001). Díky následnému rozpletení pavučiny zločinného spolčení byl v Izraeli zadržený jistý Yeron Bolondi (32). Stalo se tak v okamžiku, kdy se útočníci pokusili právě do Izraele převést sumu 13,9 milionu liber.
PŘEDPLATNÉ
ČLÁNKY DO MAILU