关于印度最大的银行抢劫案,有一件事特别令人震惊:网络犯罪无能为力。 没有任何无名,无形的技术天才侵入计算机系统而受到指责。 相反,使用SWIFT网络(全球银行间金融电信协会)的单个分支机构中的腐败雇员实施了多年。
在今天,黑客的叙事令人惊讶。 这并不意味着腐败会一直蔓延至最高点,或者至少,这意味着银行系统的安全性不会完全崩溃。 罪犯只是在做罪犯所做的事情。 每个人都可以以惊人的速度改变自己的拳头,然后继续前进。 (阅读:SWIFT系统的工作原理)
尼拉夫·莫迪(Nirav Modi)从印度第二大国有银行旁遮普国家银行(Punjab National Bank,PNB.BO)那里骗取18亿美元,实在不那么优雅。
该银行在向交易所发表的声明中说,允许钻石商人的公司利用价值18亿美元贷款的欺诈性信用证“是由分支机构官员通过SWIFT进行的,未经主管当局的批准,进口商的必要申请,文件银行的进口,法律文件,也没有在CBS的银行贸易融资模块(核心银行解决方案)中进行输入。”
PNB在其声明中指责两名初级员工发出了非法信件并发送了未记录在内部系统中的SWIFT消息。
这就提出了一个问题,所有使用SWIFT的银行是否容易受到此类欺诈的侵害,或者PNB案是否涉及过高的过失或串通?
迅速
SWIFT网络由布鲁塞尔的一个财团运营,已有11, 000多家金融机构使用,之前已经在银行抢劫中使用。
俄罗斯中央银行最近表示,黑客去年利用SWIFT网络从该国一家银行中窃取了600万美元。 黑客控制了银行的一台计算机,并使用该计算机将钱转入自己的帐户。 同样,在2016年,黑客通过使用员工的SWIFT凭证从孟加拉国中央银行夺走了令人of目的8100万美元。 一家厄瓜多尔银行表示,在2015年抢劫中,网络犯罪分子使用SWIFT代码损失了1200万美元。
SWIFT拒绝对此类事件承担任何责任。 该组织在2016年致银行客户的一封信中说,银行对系统的安全性完全负责。 当时,一位女发言人告诉路透社:“客户应对所有使用其证书签名的消息负责,当然,也要保护证书并确保只有经过正式授权的运营商才能使用它们对消息进行签名。” SWIFT并非也不能这样做。 ,负责在客户公司内部欺诈性创建的消息。”
Gartner分析师兼金融欺诈专家Avivah Litan过去曾表示,震惊她的是SWIFT如此依赖认证而不是“非常基本的欺诈检测控制”,例如寻找异常收款人,寻找远程帐户接管并寻找异常访问。
但是,莫迪的欺诈行为与这些抢劫案有很大不同,因为尽管每天都有新的细节出炉,但该银行并未指控黑客入侵,而且重点一直放在内部人员身上。 自欺诈行为首次曝光一周以来,旁遮普国家银行的六名员工已被联邦调查人员逮捕。 其中排名最高的是2009年至2011年担任该银行Brady House分行负责人。
就像从婴儿那里拿糖果一样
该银行多年来一直不知如何发信的解释是,由于SWIFT未与之集成,因此交易未记录在其内部系统上。
“除非控制环境非常宽松或存在共谋,否则将难以处理未经授权并进入核心银行业务的SWIFT交易。 World Informatix网络安全首席执行官Rakesh Asthana表示,一些控制措施应该触发了警报。WorldInformatix网络安全的首席执行官被聘用,该公司负责监督孟加拉国银行抢劫案的调查。
这些控制措施包括职责分工–使用SWIFT的银行通常由一个人参与交易,由另一人批准交易和由第三人验证所有交易。 他还说,PNB可能还可以设置SWIFT每日验证报告,以每天早晨核对总额和交易。
但最重要的是,据Asthana称,与PNB一样,与SWIFT无关的银行系统在全球金融界非常罕见。
还有一个问题,即交易是如何通过银行审计师的。
Asthana在致Investopedia的电子邮件中说:“最终这也是现金流问题。” “因此,我不清楚内部和外部审计师的工作,审计是否彻底。 如果他们确实有任何审计异议,而管理层没有采取行动,则意味着在管理链上的阴谋要大得多。 这需要进行全面调查,以确定谁知道什么时间。”
“银行开展的任何业务活动不仅要由银行内部审计团队进行审计,而且还要由同时审计师对单个分支机构进行审计,令人震惊的是,不仅审计师而且高级银行都没有注意到这种事件。工作人员也是如此。”一位匿名银行家向《经济时报》表示。 “审计人员查看获准开展业务的公司,已资助的票据,信用证,短期资助工具等。”
Capital Mind的研究分析师Deepak Shenoy说:“从表面上看,这名前员工正被当作替罪羊。 可能有很多人参与了此事。 这些年来,这为PNB带来了沉重的巨额费用。”
该事件还引起人们对PNB和印度其他国有银行以前发生的各种欺诈的关注。 路透社获得的印度储备银行数据显示,截至2017年3月31日的过去五个财政年度,国有银行报告了8, 670宗“贷款欺诈”案件,总计6, 126亿卢比(95.8亿美元)。PNB以389宗案件位居榜首过去五个财政年度的656.2亿卢比(10.3亿美元)
SWIFT可以做更多吗?
SWIFT的运作就像一个复杂的消息传递系统,对客户对其欺诈控制的方式不承担任何责任。
当被问及网络是否可以采取更多措施来防止此类高成本事件发生时,Athana说:“ SWIFT可以使某些关键要素成为强制性的,而不是将其交给具有不同程度的控制和网络安全知识的客户。”
SWIFT已经认识到至少在某些情况下必须成为举报人。 2017年4月,它引入了客户安全控制框架,该框架描述了针对客户的一组强制性和咨询性安全控制。 要求银行在去年年底之前对自身的合规水平进行自我检验,而SWIFT警告说,银行保留权利告知财务主管,否则他们有权通知财务主管。 新闻稿宣布,自今年年初以来,是否有89%的客户证明其合规性,而其余11%的财务主管是否已收到警报。 从2019年1月开始,它扩展了向未遵守最关键的安全控制措施的用户报告的权利。
重要的是要记住,在2018年1月,SWIFT每天平均记录3032万条消息,并在200个国家/地区使用。 这是一个会员制合作社,要确保银行纪律严明,这将是一项艰巨而昂贵的任务,以解决与其无关的个人银行的管理本质上的烂摊子,以保护不工作的人的钱财对于。
SWIFT的声誉在每次网络犯罪之后都会受到打击,但是,在最新的PNB欺诈案件中,有很多人应对此负责。 这项调查似乎只是从表面上摸索了专家认为更大的阴谋,而有关缺乏监督的问题最终将成为旁遮普国家银行和印度政府必须回答的问题。 SWIFT为PNB提供了更多保护自己的工具,不幸的是这些工具没有使用。
自周二起,印度储备银行发表声明说,自2016年8月以来,它已警告并提醒银行注意至少有三次防止任何“潜在的SWIFT基础设施恶意使用”的警告。该银行现已授权银行执行规定的规定。在规定的期限之前采取措施。 中央银行还成立了一个委员会,以调查“银行与印度储备银行的监督评估相比,在资产分类和拨备中观察到高度差异的原因,以及为防止这种差异而需要采取的步骤;导致这种情况发生率增加的因素。银行舞弊以及遏制和预防舞弊的必要措施(包括信息技术干预措施);以及在银行中进行的各种类型的审计在减轻此类分歧和舞弊发生方面的作用和有效性。”
Investopedia与SWIFT取得了联系,并收到以下声明:“ SWIFT不会对单个客户或实体发表评论。 当向我们报告了潜在的欺诈案件时,我们将为受影响的用户提供帮助,以帮助保护其环境。”该声明发表后,在声明中添加了一个补充内容:“很明显,没有迹象表明SWIFT网络具有曾经遭到破坏。”
