FBI: Lừa đảo không gian mạng ăn cắp 40 triệu USD từ các công ty vừa và nhỏ Mỹ

FBI:Cyber Crooks Stole $40M F-rom U.S. Small, Mid-Sized Firms

By Brian Krebs  | October 26, 2009; 1:00 PM ET

Theo:http://voices.washingtonpost.com/securityfix/2009/10/fbi_cyber_gangs_stole_40mi.html#more

Bài được đưa lênInternet ngày: 26/10/2009

Lờingười dịch: Các nạn nhân bị ăn cắp tiền từ việcsử dụng ngân hàng trực tuyến hầu như đều là cáccông ty Mỹ, bọn ăn cắp được cho là ở Moldova, Nga vàUkraine. “FBI nói 40 triệu USD số tiền bị mất có nguồngốc từ 205 trường hợp từ năm 2004 tới nay, dù họ đãtừ chối đưa ra con số các trường hợp theo từng năm.Một số chuyên gia về giả mạo trong ngân hàng đượcphỏng vấn cho câu chuyện này nói họ biết rất ít cácbáo cáo về dạng tội phạm không gian mạng loại nàytrước nửa cuối của năm 2008”. “Tuần trước, tôi đãviết về Genlabs Corp., một hãng sản xuất hóa học ởChino, California mà nó bị mất 437,000 USD tháng trước saukhi bọn trộm đã đột nhập thành công dù thực tế làngân hàng của hãng này - California Bank & Trust - yêu cầungười sử dụng gõ vào mật khẩu của họ trong sự bổsung thêm vào đầu ra từ một khóa fob mà nó sản sinh ramột con số mới có 6 chữ số mỗi 60 giây”. “Chỉriêng trong tháng 9 này, tôi đã biết về ít nhất 20trường hợp đã không được công bố trước đó trongđó bọn tin tặc đã cố gắng lấy đi tổng cộng hơn3.3 triệu USD từ những tổ chức vừa và nhỏ trên khắpđất nước”. “Những nạn nhân khác đã không phụchồi được tí gì, và ở trong một loạt hoàn cảnh sẽkiện các ngân hàng của họ để khôi phục lại một sốnhững gì đã mất”. Không rõ các ngân hàng có dịch vụngân hàng trực tuyến tại Việt Nam thì có những biệnpháp gì để bảo vệ các khách hàng của họ và bảo vệchính họ nhỉ?

Bọn tội phạm khônggian mạng đã ăn cắp ít nhất 40 triệu USD từ các doanhnghiệp vừa và nhỏ ở khắp nước Mỹ trong một kiểutinh vi những ngày một gia tăng và thông dụng đối vớiviệc giả mạo ngân hàng trực tuyến, FBI nói tuần này.

Theo FBI và các chuyêngia về giả mạo khác, những kẻ đột nhập đã đánhtheo những chiến thuật cơ bản y như nhau trong từng cuộctấn công. Chúng ăn cắp các ủy quyền ngân hàng trựctuyến của các nạn nhân với sự trợ giúp của các phầnmềm độc hại được phân phối thông qua spam. Những kẻthâm nhập sau đó khởi tạo một loạt các giao dịch ngânhàng không được quyền ra khỏi tài khoản trực tuyếncủa công ty, chúng được chỉ định để viết nó (trừđi một khoản hoa hồng nhỏ) thông qua các dịch vụ nhưlà MoneyGram hoặc Western Uni-on, thường đối với các nhómtội phạm có tổ chức hoạt động tại các quốc gia nhưMoldova, Nga và Ukraine.

Steve Chabinsky, phógiám đốc của Bộ phận Không gian mạng của FBI, nói bọntội phạm đã tham gia trong những cuộc ăn cắp các tàikhoản trực tuyến này đã định ăn cắp ít nhất 85triệu USD từ hầu hết các doanh nghiệp vừa và nhỏ, vàđã thực hiện được thành công khoảng 40 triệu USDtrong số tiền này.

Thông thường, FBIkhông hứng thú bàn về những thiệt hại, hoặc ngay cảnhận biết được sự tồn tại cảu từng trường hợpcụ thể.

Hơn nữa, cơ quan nàyrất chú ý tránh việc đưa ra bất kỳ tuyên bố nào mànó có thể gây sợ hãi cho những người tiêu dùng hoặccác doanh nghiệp đối với việc kinh doanh ngân hàng trựctuyến. Nhưng Chabinsky nói FBI đang tiến hành một bướckhông bình thường đối với những số tiền bị mấtđang trôi nổi để gây chú ý cho những ai bị rủi ronhất sao cho họ có thể áp dụng những biện pháp bảovệ an toàn.

“Chúng tôi không tincó lý do cho một cuộc khủng hoảng niềm tin trong ngânhàng trực tuyến, nhưng chúng tôi muốn chắc chắn chúngtôi gửi thông điệp này sớm trước khi điều này trởthành một vấn đề lớn hơn nhiều”, Chabinsky đã nóicho Security Fix trong một phỏng vấn hôm thứ tư. “Mốiquan tâm của chúng tôi là việc những con số này sẽ giatăng nếu chúng tôi không giáo dục cho mọi người bâygiờ để tiến hành các biện pháp phòng ngừa, và nếuchúng tôi có thể tóm cổ được một số mầm mống này,không chỉ sẽ làm giảm đi vấn đề này, mà nó sẽ phụcvụ như một sự ngăn chặn làm nhụt chí đối với sựmở rộng của các kẻ xấu thấy điều này như một cáchdễ dàng để kiếm tiền”.

FBInói 40 triệu USD số tiền bị mất có nguồn gốc từ 205trường hợp từ năm 2004 tới nay, dù họ đã từ chốiđưa ra con số các trường hợp theo từng năm. Một sốchuyên gia về giả mạo trong ngân hàng được phỏng vấncho câu chuyện này nói họ biết rất ít các báo cáo vềdạng tội phạm không gian mạng loại này trước nửacuối của năm 2008.

“Có thể đã từngcó những trường hợp về dạng tội phạm đặc biệtnày trước năm 2009, nhưng các cuộc tấn công như thếnày và với số lượng này thực sự chỉ nổi lên vàocuối năm ngoái”, Rayleen Pirnie, giám đốc cao cấp vềgiảm nhẹ giả mạo và rủi ro tại EPCOR, một hội philợi nhuận mà nó đưa ra các khóa đào tạo và giáo dụcvề quản lý rủi ro trong thanh toán đối với các cơ quantài chính, nói.

Các công ty mà ngânhàng trực tuyến có được một chút bảo vệ có thể cókhả năng đối với các khách hàng. Những cá nhân mà họcó tài khoản ngân hàng trực tuyến của họ bị lấysạch vì virus máy tính ăn cắp mật khẩu thường đượcthực hiện hoàn toàn bởi ngân hàng của họ (miễn là họkhông chờ hơn 10 ngày làm việc trước khi thông báo vềsự giả mạo này). Các doanh nghiệpthường không may mắn và phải chịu mất mát.

Cybercriminals have stolen at least $40 million f-rom small to mid-sizedcompanies across America in a sophisticated but increasingly commonform of online banking fraud, the FBI said this week.

Accordingto the FBI and other fraud experts, the perpetrators have stuck tothe same basic tactics in each attack. They steal the victim's onlinebanking credentials with the help of malicious software distributedthrough spam. The intruders then initiate a series of unauthorizedbank transfers out of the company's online account in sub-$10,000chunks to avoid banks' anti-money-laundering reporting requirements.F-rom there, the funds are sent to so-called "money mules,"willing or unwitting individuals recruited over the Internet throughwork-at-home job scams. When the mules pull the cash out of theiraccounts, they are instructed to wire it (minus a small commission)via services such as MoneyGram and Western Uni-on, typically toorganized criminal groups operating in countries like Moldova, Russiaand Ukraine.

SteveChabinsky, deputyassistant director of the FBI's Cyber Division, said criminalsinvolved in these online account takeovers have attempted to steal atleast $85 million f-rom mostly small and medium-sized businesses, andhave successfully made off with about $40 million of that money.

Normally,the FBI isn't eager to discuss losses, or even acknowledge theexistence of specific cases. What's more, the agency is keen to avoidmaking any statements that might spook consumers or businesses awayf-rom online banking. But Chabinsky said the FBI is taking the unusualstep of floating financial loss figures in order to grab theattention of those most at risk so they can adopt safeguards.

"Wedon't believe there's cause for a crisis of confidence in onlinebanking, but we want to make sure we message this early before thisbecomes a much larger problem," Chabinsky told SecurityFix in an interviewWednesday. "Our concern is that these numbers will grow if wedon't educate people now to take precautions, and if we could nipsome of this in the bud, not only will it lessen the problem, but itwill serve as a deterrent to the extent the bad guys see this as aneasy way to make money."

TheFBI said the $40 million loss figure stems f-rom some 205 cases thatdate back to 2004, though it declined to offer a year-by-yearbreakdown of those cases. Several bank fraud experts interviewed forthis story said they were aware of very few reports of this type ofcyber crime before the latter half of 2008.

"Theremay have been a handful of cases of this specific type of crimebefore 2009, but attacks like this and in this volume really onlypicked up toward the end of last year," said RayleenPirnie, seniormanager for fraud and risk mitigation at EPCOR,a not-for-profit association that offers payment risk managementeducation and training to financial institutions.

Companiesthat bank online enjoy few of the protections afforded to consumers.Individuals who have their online bank account cleaned out because ofa password-stealing computer virus usually are made whole by theirbank (provided they don't wait more than 10 business days beforereporting the fraud). Businesses often are not so lucky and must takelosses.

Chabinskynói các doanh nghiệp có thể tự cô lập mình khỏi dạnggiả mạo này bằng việc tiến hành ngân hàng trực tuyếncủa họ từ một máy tính chuyên dụng, được khóa saocho nó không được sử dụng cho việc duyệt Web hoặc thưđiện tử hàng ngày. Đó là vì các phần mềm độc hạimà bọn ăn cắp sử dụng để ăn cắp tên và mật khẩungân hàng trực tuyến của người sử dụng thường đượccài đặt khi người nhận một thư điện tử có spam mởmột tệp gắn kèm bị đầu độc hoặc nháy vào mộtđường liên kết mà nó dẫn tới một webiste gài bẫy.

“Nhữnggì chúng ta đang thấy là một xu thế hướng tới [củabọn giả mạo] lợi dụng ưu thế của đường liên kếtyếu trong quá trình thực hiện ngân hàng trực tuyến, màđó là khách hàng”, Chabinsky nói.

Trongkhi nguồn lớn nhất của tính dễ bị tổn thương có thểnằm trong đầu cuối của khách hàng, thì một số chuyêngia về giả mạo tin là những kẻ thâm nhập dạng tộiphạm không gian mạng này chỉ đang bị hút vào nhữngđiểm yếu ít rõ ràng hơn trong hệ thống ngân hàng trựctuyến thương mại.

Chabinskysaid businesses can insulate themselves f-rom this type of fraud bydoing their online banking f-rom a dedicated, locked-down computerthat is not used for everyday Web browsing or e-mail. That's becausethe malicious software that thieves use to steal online banking usernames and passwords typically is installed when the recipient of aspam e-mail opens a poisoned attachment or clicks a link that leadsto a booby-trapped Web site.

"Whatwe're seeing is a trend towards [fraudsters] taking advantage of theweak link in the banking process, which is the customer,"Chabinsky said.

Whilethe biggest source of the vulnerability may reside on the customer'send, some fraud experts believe the perpetrators of this type ofcyber crime are merely gravitating toward less obvious weaknesses inthe commercial online banking system.

Avivah Litan, một nhàphân tích về giả mạo tài chính của Gartner Inc., nóinhiều trong số các ngân hàng lớn đã lấy một trang từcác công ty thẻ tín dụng, đầu tư mạnh vào các giảipháp chống giả mạo mà nó tìm kiếm các giao dịch bấtbình thường và các hoạt động khác mà nó có thể chỉra một tài khoản khách hàng đã bị tổn thương.

Nhưng Litan nói nhiềucông ty đang là nạn nhân của dạng tội phạm ngân hàngnày tại các cơ quan tài chính nhỏ và khu vực mà họkhông có được các công nghệ dò tìm mẫu giả mạo. Hơnthế, bà nói, các cơ quan này đang dựa vào những lớpbảo vệ khách hàng bổ sung, như là các thẻ token an ninh- các tiếp cận mà chúng có thể dễ dàng bị phá vỡkhi máy tính của khách hàng bị bọn trộm kiểm soát.

“Nhiều cơ quan[thương mại] còn không xem xét cả các công nghệ chốnggiả mạo vì họ không trực tiếp bị mất khi các kháchhàng doanh nghiệp của họ bị đánh”, Litan nói. “Cácngân hàng có thể lo lắng về uy tín bị mất từ nhữngdạng sự việc như thế này, nhưng cho tới nay những cuộctấn công này không là sự hiểu biết rộng rãi”.

Tuầntrước, tôi đã viết về Genlabs Corp., một hãng sản xuấthóa học ở Chino, California mà nó bị mất 437,000 USD thángtrước sau khi bọn trộm đã đột nhập thành công dùthực tế là ngân hàng của hãng này - California Bank &Trust - yêu cầu người sử dụng gõ vào mật khẩu củahọ trong sự bổ sung thêm vào đầu ra từ một khóa fobmà nó sản sinh ra một con số mới có 6 chữ số mỗi 60giây.

Genlabschỉ là một trong 48 nạn nhân mà tôi đã nghe từ hoặcđã gặp trong vòng 5 tháng gần đây. Trong khi không phảiai cũng đã muốn nói cho tôi tên của ngân hàng của họ,thì những người mà họ đã nên tên hầu như là phổbiến nhất là các cơ quan địa phương và vùng.

Nếubạn xem xét lại bảng bên dưới - mà nó chi tiết hóaviệc bọn trộm đã cố ăn cắp được bao nhiêu từ mỗinạn nhân và bọn chúng đã ăn cắp được bao nhiêu từđó - thì bạn sẽ để ý thấy rằng một vài con sốtrong cột “con số không được rõ” có tổng là 0 USD.Gần như tất cả những trường hợp này, nạn nhân đãtiến hành làm việc với ngân hàng tại một cơ quan rấtnhỏ, dạng mà ở những nơi mà các nhân viên hình nhưcòn biết được các khách hàng của mình bằng tên vàbằng mắt.

Lấy ví dụ vụ củaHoldiman Motor, một hãng bán lẻ ô tô tại Cedar Falls, Iowa.Đầu năm nay, các tin tặc đã có khởi động một loạtvụ chuyển tiền lương giả mạo tổng cộng 60,000 USD tớimột vài cá nhân mà hãng này không bao giờ kinh doanh trướcđó, ông chủ Tom Holdiman dã nói những kẻ thâm nhập đãthất bại vì ngân hàng của hãng này - Lincoln Savings Bank- đã để ý thấy rằng thời gian của các giao dịch làkhông bình thường và đã cảnh báo cho người kiểm soátcủa Holdiman.

“Với những ngânhàng khác bạn chỉ là một con số”, Holdiman nói. “Điềuđó giải thích vì sao chúng tôi đi với họ”.

Trong48 cuộc tấn công mà tôi đã khẳng định kể từ tháng5, bọn trộm đã cố gắng ăn cắp hơn 7,3 triệu USD từnhững tổ chức này. Trong nhiều trường hộp, tôi đãkhông thể biết được có bao nhiêu nạn nhân thực sựđã bị mất tiền. Một số lượng các công ty đã nóicho tôi họ đã không muốn bị xác định ra bằng tên, vàđã không trả lời cho các yêu cầu cho những cuộc phỏngvấn tiếp sau. Một số công ty là nạn nhân mà họ đãgặp phải sự giả mạo đủ sớm đã có khả năng đểlàm việc với ngân hàng của họ để rút ra một sốhoặc tất cả số tiền bị ăn cắp. Những nạn nhânkhác đã không phục hồi được tí gì, và ở trong mộtloạt hoàn cảnh sẽ kiện các ngân hàng của họ đểkhôi phục lại một số những gì đã mất.

Dù vậy, rõ ràng làcác câu chuyện đã được xuất bản ở đay đã khuyếnkhích nhiều hơn và nhiều hơn các nạn nhân tiến lênphía trước. Chỉ riêng trong tháng 9này, tôi đã biết về ít nhất 20 trường hợp đã khôngđược công bố trước đó trong đó bọn tin tặc đã cốgắng lấy đi tổng cộng hơn 3.3 triệu USD từ những tổchức vừa và nhỏ trên khắp đất nước.

Bên dưới là bảngchỉ ra những thực thể là nạn nhân mà tôi đã khẳngđịnh được trong vòng 5 tháng qua. Cũng bảng đó - baogồm tổng số tiền bị mất cộng dồn theo từng tháng -là sẵn sàng trong định dạng Excelvà HTML.

Mộtsố nạn nhân chỉ được xác định bởi lĩnh vực côngnghiệp của họ hoặc đặc biệt để dành cho sự nặcdanh của họ. Nếu một tên nạn nhân mà có siêu liênkết, thì các độc giả có thể nháy vào đường liênkết đó để đọc một bài viết trên blog của SecurityFix trước đó mà có nhắc tới về sự việc đặc biệtcủa họ.

AvivahLitan, a financialfraud analyst with GartnerInc., said many ofthe largest banks have taken a page f-rom the credit card companies,investing heavily in anti-fraud solutions that look for transactionanomalies and other activity that may indicate a customer's accounthas been compromised.

ButLitan said many companies being victimized by this type of crime bankat small and regional financial institutions that do not have fraudpattern detection technologies in place. Rather, she said, theseinstitutions are relying on additional layers of customerprotections, such as security tokens - approaches that can easily besubverted when the customer's computer is under control of thethieves.

"Many[commercial] institutions aren't even looking at new anti-fraudtechnologies because they don't take the direct loss when theirbusiness customers get hit," Litan said. "Banks may beworried about the reputation loss f-rom these kinds of incidents, butso far these attacks aren't widespread knowledge."

Lastweek, I wrote about GenlabsCorp. a Chino,Calif. chemical manufacturing firm that lost$437,000 last month after thieves broke into the company's bankaccount and sent transfers to roughly 50 different money mules. Theattackers succeeded despite the fact that the company's bank --California Bank & Trust -- requires the user to enter theirpassword in addition to the output f-rom a key fob that generates anew six-digit number every 60 seconds.

Genlabswas just one of 48 victims I have heard f-rom or reached out to overthe past five months. While not everyone was willing to tell me thename of their bank, those that did almost universally named local andregional institutions.

Ifyou review the c-hart below -- which details how much the thievestried to steal f-rom each victim and how much they made off with --you'll notice that several of the figures in the "amountunrecovered" column total $0. In nearly all of those cases, thevictim banked at a very small institution, the kind whe-re employeesapparently still know their customers by name and by sight.

Takethe case of HoldimanMotor, a cardealership in Cedar Falls, Iowa. Earlier this year, hackers tried toinitiate a series of bogus payroll transfers totaling $60,000 toseveral individuals the company has never done business with before.Owner Tom Holdimansaid the perpetrators failed because the company's bank -- LincolnSavings Bank -- noticed that the timing of the transactions wasunusual and alerted Holdiman's controller.

"Withthe other banks you're just a number," Holdiman said. "That'swhy we're with them."

Inthe 48 attacks I've confirmed since May, thieves attempted to stealmore than $7.3 million f-rom these organizations. In many cases, I wasunable to learn how much victims had actually lost. A number ofcompanies told me they did not want to be identified by name, andhave not responded to requests for follow-up interviews. Some victimcompanies that spotted the fraud early enough were able to work withtheir bank to retrieve some or all of the stolen funds. Other victimsrecovered nothing, and are in various stages of suing their banks torecover some of the losses.

Nevertheless,it is clear that the stories published here have encouraged more andmore victims to come forward. In the month of September alone, Ilearned of at least 20 previously unpublicized cases in which hackerstried to take a total of more than $3.3 million f-rom small- tomid-sized organizations across the country.

Belowis a c-hart showing the victim entities that I have confirmed over thepast five months. That same c-hart -- including monthly and cumulativedollar loss totals -- is available in Exceland HTMLformat. Some victims are identified only by their industry orspecialty to preserve their anonymity. If a victim's name ishyperlinked, readers can click the link to read a prior Security Fixblog post that includes mention of their specific incident.

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com