Willie Sutton, amerykański przestępca znany z serii napadów w latach 30-tych XX w., powiadał że „nie da się obrabować banku osobowością i urokiem osobistym”. Jego ulubionym narzędziem był karabin Thompson. Jednak coraz częściej złodzieje posługują się do tego celu zupełnie innymi narzędziami. Rosyjski gang działający od kilku lat wykorzystał komputerowe konie trojańskie, a pieniądze wypłacał sobie z bankomatów.


Na łamach Bankier.pl pisaliśmy już o grupie przestępców, która „wykreowała” pieniądz wyprowadzony z amerykańskich banków w 2013 r. Kradzież w białych rękawiczkach i bez ofiary to znak rozpoznawczy nowego rodzaju napadów na banki w XXI w.
Działania hakerów zazwyczaj jednak celują w klientów przechowujących w instytucjach finansowych swoje oszczędności. Opublikowany niedawno raport firm Fox-IT i Group-IB pokazuje, że niektórzy złodzieje stosują zupełnie inną, „hurtową” taktykę.

Najpierw przynęta, potem włamanie
Historia grupy zaczyna się w Rosji, gdzie po aresztowaniach wśród gangu okradającego bankowe konta za pomocą wirusa Carberp na wolności pozostała garstka bezrobotnych przestępców. W 2013 r. podjęli oni decyzję o zmianie „modelu biznesowego”, celując bezpośrednio w banki zamiast wyłudzać dane pozwalające włamywać się elektronicznie do rachunków drobnych ciułaczy.
Zobacz także
Od tego czasu grupie udało się skutecznie włamać się do 50 rosyjskich banków i 5 systemów obsługujących płatności. Pierwszym krokiem było zazwyczaj włamanie do komputera jednego z pracowników firmy. Przynętą był często e-mail, rzekomo od klienta instytucji, w którym znajdował się załącznik z koniem trojańskim.
Po zarażeniu urządzenia szeregowego pracownika zdobywano jego hasło. Dane służyły do zbadania systemów działających w banku w poszukiwaniu możliwości włamania. Zazwyczaj w ciągu kilkudziesięciu dni włamywaczom udawało się przejąć kontrolę nad m.in. wewnętrzną pocztą i systemem zarządzania obiegiem dokumentów. Przestępcy rozpoczynali monitoring interesujących kluczowych pracowników, korzystając także z narzędzi wykonujących zrzuty ekranu i nagrywających aktywność użytkownika.
5000 rubli zamiast setki – pomysłowy trik w bankomacie
Pieniądze wyprowadzano często w postaci bezgotówkowej, korzystając z przechwyconych danych umożliwiających dostęp do systemów bankowych. Przelewano drobne kwoty na rachunki słupów-pośredników, podobnie jak dzieje się to w przypadku włamań będących owocem phishingu.
Włamywacze sięgali jednak także po ciekawsze sposoby kradzieży. W jednym z banków udało im się dokonać zmian w konfiguracji ponad 50 bankomatów należących do instytucji. Za pomocą kilku poleceń maszyny oszukano tak, aby wypłacały banknoty 5000 rubli zamiast 100 rubli. Wystarczyło wskazać, poprzez odpowiednie wpisy w rejestrze komputera bankomatu, że kasety z banknotami zostały zamienione miejscami.
Gotówkowy łup wypłacali później pracujący dla grupy „zbieracze”. W szczytowym momencie przestępczego biznesu dysponowała ona pięcioma takimi zespołami, z których każdy składał się z 15-20 mieszkańców postsowieckich republik i był nadzorowany przez wydelegowanego kierownika.
Złodzieje jak korporacja
Raport pokazuje, że przestępcy działali profesjonalnie na niemal każdym etapie procederu. Pochodzenie skradzionych środków zacierano poprzez liczne operacje, w tym z użyciem systemów płatności elektronicznych. Grupa dbała także o dywersyfikację źródeł przychodów, atakując również systemy odpowiedzialne za przetwarzanie płatności kartowych i pozyskując obrazy kart płatniczych, które można było odsprzedać na czarnym rynku. Można powiedzieć, że pod wieloma względami włamywacze przypominali dobrze działającą korporację – z dobrze zdefiniowaną misją i rynkową niszą.
Pełen raport „Anunak: apt against financial institutions”.




























































