对于一些网络犯罪团体来说,攻击银行和其他金融机构就像是流水线作业。许多人都知道被偷窃的资金很难被追回,但是背后的原因鲜有人知。BAE系统和SWIFT支付系统的研究人员联合发表了一篇报告,详细阐述了网络罪犯们是如何洗钱的。
资金的来源和目的地
对银行进行的网络攻击发生在两种场景下,一种是对基础架构和账号的攻击,另一种是对ATM和相关系统的攻击。各种洗钱的方式之间存在略微的不同,不过其实质和目的是一样的,都是使通过犯罪得来的资金重新流入合法的金融系统中。
传统的洗钱流程包括以下三个阶段:
- 存置:指从受害人账户向不法分子账户发起的第一笔转账,或者是将被偷窃的现金存入银行;
- 分置:指通过一系列设计好的交易来隐藏资金的源头和真正的拥有者;
- 整合:用经过上述处理的资金投资合法或者非法的业务。
最后将资金重新整合进入金融系统的阶段足够单独写一篇文章讨论,所以在此我们不过多考虑其中细节。然而,一次成功的攻击不仅需要在行动之前就开始仔细计划,也离不开将资金合法化的机制,这些就是另一个额外的阶段:准备阶段。
准备阶段
为了能够快速转移偷来的资金,网络犯罪分子们通常会准备很多个人或者合法机构拥有的账号。这些账号可能来自戒备不足受到入侵的受害者、被欺骗或者自愿加入诈骗行动的人。
后者通常被称为”钱骡”,有时他们被雇佣来使用假冒的或者偷来的个人文件在银行开户,这项复杂的任务需要银行内部有人接应。招聘机构可能会在工作描述中使用诸如”协助投资资金”之类的模糊词眼。很多时候,钱骡很清楚自己的行为是法律所不允许的,但是为了诱人的酬劳他们自欺欺人,不过这些帮凶往往最终也会被”黑吃黑”,受到同行欺骗。
存置阶段
一旦网络犯罪分子们将偷来的资金转入特定银行账户之后(通过恶意程序、社会工程学或者银行”内鬼”交接等方法),就轮到钱骡登场了:
- 他们可能会将资金转移至其他账户,从而甩开潜在的追踪者;
- 他们可能会往自己或者其他的地址订购货物;
- 他们可能会从ATM提取现金。
有一种诱骗钱骡的诡计,就是雇佣他们来为某公司工作,这种公司专门帮助外国客户购买那些不支持跨国送货的商品,然后钱骡负责接收并转发国际包裹。这种工作会持续一到两个月,直到被当地警方查封为止。
分置阶段
当帮凶们收到钱或者货物时,他们会通过以前的犯罪经验使赃物合法化。比如,他们可能将现金兑换为可自由转换的货币(通常是美元),而货物则会直接售给买家或者二手商店。按理说货币交换所和商品购买方应该具备检测非法交易的能力,然而由于工作人员的疏忽或者内部有人接应,这种非法交易都可能得以通过。
尽管有时钱骡会被抓住,但是他们中的大多数出来之后依旧继续从事着这些非法勾当,而且背后的谋划者往往隐藏很深。
接下来这些骗子们会采用”经典的”作案手段,比如购买珠宝或者金属(这些业务仍然更倾向于现金支付),或者在赌场买卖筹码。
如果经过这一些列操作之后资金仍然没有转换为现金,那么空壳公司就会登场,这些业务往往存在于金融监管不那么严格的国家或者那些法律严格保护交易机密的地方。之后的一些涉及到转汇的交易让资金的源头更加难以追踪,这些公司倒未必完全违规,大多数情况下都有一部分合法的业务。
最近加密货币开始被用作洗钱工具,由于用户不需要提供个人信息便可以完成交易,因此它们越来越受不法分子的青睐。然而,使用加密货币洗钱也并非高枕无忧,用户虽然是匿名的,但区块链本身透明度高,这使得抽取资金会需要大量交易。例如在2018年,Lazarus团伙在入侵某加密货币交易所后偷走了三千万美元,在之后的四天内他们在不同电子钱包之间进行了68笔转账交易。
总结
现在我们知道,不法分子们已经建立了复杂的洗钱流程,其中涉及操作账号、公司、货币和司法等等,这些流程往往非常迅速地发生在几天之内,以至于有些公司甚至没有发现它们已经被攻击。
因此,银行机构应该着手建立网络安全基础架构来最小化金融系统被入侵的风险。我们的卡巴斯基反欺诈平台专门为银行和其他金融机构量身打造,它不仅可以分析用户行为和监控金融交易,还可以追踪记录洗钱行为。你可以在卡巴斯基网站相关页面了解详情。