（年度订阅用户可加入科技英语学习社区，每周科技英语直播讲堂，详情查看“阅读原文”）

今年年初，东欧的许多银行都被卷入了一系列借记卡诈骗和盗刷中，涉及金额高达上亿美元。犯罪团伙利用虚假的银行账户和黑客手段，将余额不多的银行账号变成了造钱机器。

SpiderLabs 于 10 月 10 日披露的一份研究报告详细展示了这种犯罪手段：黑客们首先获取了银行系统权限，然后修改了用假身份开的账户的透支保护额度，最后在其它国家的ATM机上插卡登录这些账户，每次可以取走上万美金。

SpiderLab 的调查发现了约有 4000 万美金被此方法盗走，同时调查人员还表示，“如果考虑到尚未被发现的账户或被调查到的攻击，以及一些银行内部和第三方机构的调查数据，那么预计被盗金额可能高达上亿美元。”

这种犯罪手段结合了传统信用卡盗刷和黑客技术。犯罪团伙想要实现这种犯罪，首先需要收买很多人，通知其前往目标银行，使用犯罪团伙提供的虚假身份开设账户，并存入最低存款额。开设账号之后获得的借记卡则会被邮寄给遍布在欧洲和俄罗斯的团伙其他成员。

另一方面，黑客们还通过简单的网络钓鱼手段，在银行雇员的电脑里植入了远程访问恶意软件。这些后门程序帮助黑客获得了更多的银行内网权限，并且攻破了银行里的多个不同系统。黑客们继而向第三方支付处理提供商下手，利用银行储存的VPN凭据获取第三方公司的内网权限。这样一来，黑客们就能够在第三方公司的网络里同样部署一些恶意软件数据包。

调查人员表示，“最重要的一环，就是取得第三方公司终端服务器上的合法监控工具的访问权限，这个工具允许用户通过浏览器访问和管理银行卡。”

第三方处理商使用的 Mipko 监控软件又被称为“员工监控软件”，黑客从中获取了约 4 GB的监控数据，包括所有访问过银行卡管理系统的用户的截图，键盘记录和登录凭据等等。

凭借这些信息，黑客能够分辨出目标银行所使用的银行卡管理软件，然后通过窃取的凭据登录虚假身份开设的银行帐号，并且修改透支保护金额。在修改金额之后，黑客会通知其他同伙，从国外连接该第三方支付处理商网络的 ATM 机上取走现金。

图 | Mipko监控软件官网

在犯罪过程中，恶意软件的使用频率很低，同时银行卡管理系统的访问又是源自银行内网，因此这种犯罪手段很难被检测到。他们利用了一种新的入侵方式：“就食于敌国”，在盗取极少数据的情况下长期潜伏在目标网络中，获得大量的密码和机密信息。

黑客植入的恶意软件中包括一个名为 plink.exe（PuTTY）的程序，这是一个 Windows SSH 客户端，可以通过 SSH 通道实现对 Windows 终端服务器的远程桌面控制。 除了 Mipko 员工监控软件以外，黑客还利用了渗透测试软件 Cobalt Strike Beacon，调查人员表示，“后者主要用来维系后门连接，连接的另一端则位于美国境内。”

尽管目前发现的所有盗刷案例仅限于东欧银行（包括俄罗斯），网络专家警告，这种手段很有可能扩散至全球,“在网络犯罪团伙瞄准整个世界之前，东欧这片土地常常是他们的试验田。”

-End- 

编辑：Ren  校审：黄珊

参考：

https://arstechnica.com/information-technology/2017/10/wave-of-cyber-bank-heists-in-former-soviet-states-netted-40m-in-real-cash/