Bez firewalla i innych zabezpieczeń. Tak funkcjonował... bank. Hakerzy ukradli miliony

Indyjski bank Andra Pradesh Mahesh Co-Operative Urban Bank został okradziony przez hakerów i jeśli zagłębić się w szczegóły ataku, można jedynie zastanawiać się... czemu tak późno?

Okazuje się, że właściciele i pracownicy niewiele myśleli o bezpieczeństwie, bo bank nie posiadał ważnej licencji na zaporę sieciową, nie stosował ochrony przed phishingiem i nie posiadał systemu wykrywania włamań. Czy kogoś dziwi, że instytucja ta padła ofiarą złodziei? Lokalna policja ujawniła opis ataku na bank, który rozpoczął się od wysłania ponad 200 wiadomości phishingowych w ciągu trzech dni w listopadzie 2021 r. Przynajmniej jedna osoba dała się złapać na haczyk, co doprowadziło do zainstalowania trojana umożliwiającego zdalny dostęp (Remote Access Trojan, RAT). W banku tym nie było wirtualnych sieci LAN, więc gdy hakerzy uzyskali dostęp do systemów banku, mogli poruszać się gdzie chcieli - nawet w głównej aplikacji bankowej.

Bez firewalla, wirtualnych sieci, bez szkoleń i zabezpieczeń, za to z 10 superuserami i takimi samymi hasłami. Tak działał bank! Hakerzy bez przeszkód dostali się do systemów, stworzyli konta i przelewali pieniądze.

Mahesh Bank nieostrożnie pozwolił, aby było aż 20 superuserów - niektórzy z nich mieli identyczne hasła. Napastnicy naruszyli niektóre z tych kont i uzyskali dostęp do baz danych zawierających informacje o klientach, w tym salda kont.  Napastnicy tworzyli również nowe konta bankowe i przenosili na nie środki klientów. Następnie, za pośrednictwem bankowości internetowej z powyższych kont dokonano transakcji RTGS/NEFT, a kwoty zostały przelane na 115 różnych kont bankowych w różnych bankach, a stamtąd na kolejnych 398 różnych kont bankowych. Większość kont beneficjentów znajduje się w Delhi, Haryanie, Uttar Pradesh, Bengalu Zachodnim, Maharasztrze, Karnatace, Kerali i 7 dystryktach północno-wschodnich itd. Ponad 1 mln USD skradzionych środków trafiło na setki innych kont w Mahesh Bank i innych instytucjach finansowych. Pieniądze zostały później m.in. wypłacone z 938 bankomatów w całych Indiach. Policja, a właściwie oddział do walki z cyberprzestępczością, chwali się, że wykryła atak i zamroziła kolejne 2 mln USD środków, zanim zostały wypłacone, a kolejny 1 mln USD wrócił z powodu błędnych danych odbiorcy.

Policja jasno stwierdza, że bank nie podjął żadnych środków w celu odizolowania aplikacji w centrali od oddziałów, nie posiadał wielu podstawowych narzędzi bezpieczeństwa, nie przeszkolił pracowników na wypadek oczywistej możliwości ataku phishingowego i nie posiadał ważnej licencji na swoją zaporę sieciową w momencie ataków, co podobno w Indiach nie jest wcale rzadkością. Aresztowano dwóch Nigeryjczyków, którzy mieli spotykać się z właścicielami kont. W sprawę mają być też zamieszani obywatele Wielkiej Brytanii,