Bonnie, Clyde a hackeři. Kdo je větší machr?

Bonnie a Clyde, Jesse James nebo John Dillinger by se nestačili divit. Jejich řemeslo – klasické bankovní loupeže – upadá.

Časy se mění, bankovní lupiče spíš než mezi pistolníky a experty na sejfy najdete dnes mezi ajťáky. Dokazují to mimo jiné loupeže, chcete-li hackerské útoky, na bangladéšskou centrální banku a ekvádorskou Banco del Austro. Z bangladéšské banky vyfoukli lupiči 81 milionů dolarů (1,9 miliardy korun), z ekvádorské 12 milionů dolarů (v korunách 290 milionů).

V obou případech hackeři pomocí malware pronikli do systému banky a vytáhli z něj data, která použili na falešné převodní příkazy. Nepotřebovali k tomu zbraně, výbušniny a rychlá auta.

Proč přepadat banky

Reportér listu Saturday Evening Post položil v roce 1951 jinému legendárnímu lupiči Willie Suttonovi prostou otázku: „Proč přepadáte banky?“ Suttonova odpověď (později označovaná jako „Suttonův zákon“) byla také prostá: „Protože tam jsou peníze!“ 

Později lupič svůj výrok popíral a tvrdil, že banky přepadal proto, že ho to bavilo. Tak, či onak, dnes by z toho sotva měl potěšení. Hotovost by v bankách sotva dohledal. V těch větších by se ještě mohl napakovat cennostmi ze sejfů. Jinak ale bankovní pobočky slouží spíš jako poradenské kanceláře a místa, kde se uzavírají smlouvy. S hotovými penězi se v nich operuje minimálně

Důsledkem je úpadek profese tradičního bankovního lupiče. Dokazují to statistiky z kolébek tohoto řemesla – z Británie a Spojených států. „Hardwarové“ bankovní loupeže jsou v nich od počátku století na ústupu (v Česku od roku 2005). Jen od roku 2009 tam poklesly o více než třetinu. V Londýně byly ještě počátkem devadesátých let minulého století na denním pořádku. V roce 1992 tam zaznamenali 291 přepadení bankovních poboček, dvacet let poté jen 26.

Bankovní lupiči se samopaly pod kabátem byli kdysi pokládáni za aristokraty mezi kriminálníky. Dnes platí za řadové zloděje. Hotovosti v bankách ubylo, bezpečnostní opatření se zdokonalila, riziko je vyšší, stejně jako tresty. Studie ekonomů z univerzit v Sussexsu a Surrey ukazuje, že poté, co se bankovní lupiči o lup podělí, jejich výdělek je srovnatelný s průměrnými příjmy. (Barry Reilly, Neil Rickman, Robert Witt: Robbing banks: Crime does pay – but not very much)

Stále však platí to, co platilo už za časů Willie Suttona. Vyplatí se loupit tam, kde jsou peníze. Dnes jsou v síti. Ne jako papírky, ale jako čísla v systému.

Pozor na pravopis!

Tentokrát si softwaroví lupiči vybrali globální platební systém SWIFT (Society for Worldwide Interbank Financial Telecommunication). Bangladéšské bance vysáli peníze v únoru z jejího účtu vedeného ve Federální rezervní bance v New Yorku, venezuelské už v loni v lednu z účtu v kalifornské Wells Fargo. Co víc, na přelomu roku hackeři zaútočili na dvě komerční banky – z Vietnamu a Filipín. Tyto podvodné transakce však byly včas odhaleny.

Případy, ve kterých hackeři uspěli, byly zveřejněny až nedávno a vyvolaly pozdvižení. Není divu. SWIFT je nejdůležitější kanál, kterým si banky posílají data. Je do něj zapojeno více než jedenáct tisíc finančních institucí.

Lupiči se nicméně do jádra systému nedostali, jejich škodlivý program se SWIFTem nešíří. Pronikli do databází jednotlivých bank, kde získali kódy do platebního systému, a začali z účtů vytahovat peníze.

Bangladéšané hodili odpovědnost z loupeže na Fed a SWIFT, Ekvádorci na Wells Fargo. Vyšetřování ale ukázalo, že máslo na hlavě mají především okradení. V případě bangladéšské banky vyšlo najevo, že tato instituce šetřila na softwaru a její síť nebyla zabezpečena ani firewallem. Ještě, že zloději při jedné z transakcí školácky popletli kód (namísto „Foundation“ napsali „Fandation“) a tím upozornili na převod. Jinak by z banky místo 81 milionů mohli vyčerpat miliardu dolarů, na kterou měli políčeno.

Z toho je možné odnést si dvě poučení: 1. malou chybou se můžete připravit o velké peníze, 2. je důležité znát pravopis a psát pečlivě.

No a pro úplnost – kdo za zmíněnými útoky stojí? Americká společnost Symantec, která vyrábí antivirové programy, tvrdí, že stopa vede do Severní Koreje. Malware použitý vůči bangladéšské bance, bance z Vietnamu a peněžnímu domu na Filipínách má prý obsahuje části kódů jako program, který použili hackeři ze severokorejské skupiny nazývané Lazarus při předloňském útoku na hollywoodské filmové studio Sony Pictures. (Stalinistický režim z Korejského poloostrova neradno podceňovat. Severokorejský expert na informační technologie Kim Heung-Kwang, který v roce 2004 zběhl na korejský jih, vypověděl, že KLDR má na 6000 hackerů a na kybernetickou válku vynakládá nejméně desetinu vojenského rozpočtu.)

Belgická centrála SWIFTu se každopádně po sérii kybernetických útoků chystá nastavit nová pravidla pro zabezpečení počítačů bankovních administrátorů.

Loupež v bačkorách

„Proč přepadat bankovní domy? Dostanete se do nich snáz přes internet,“ cituje agentura Reuters bezpečnostního poradce Shane Shooka ze skupiny za skupiny Bates Group.

Online loupeže jsou pohodlnější a méně riskantní. Tím spíš, že některé banky v obavě o svou pověst bezpečného přístavu pro finance tyto krádeže někdy tají, neoznámí je policii ani regulátorovi.

Krádeže ve SWIFTu jsou jen pověstnou špičkou ledovce. Jeden příklad za všechny: Během velké (internetové) bankovní loupeže Carbanak v letech 2013 až 2015 připravila skupina lupičů desítky finančních institucí o víc než miliardu dolarů. Zaměstnancům bank zaslali hackeři e-maily obsahující přílohu se škodlivým kódem, kterou antiviry dlouho nebyly schopny zjistit.

Bankovní lupiči, kteří pracují online, mají proti lupičům, kteří kradou po staru, podstatnou výhodu. Neriskují životy – svoje ani druhých. Kradou z pohodlí kanceláře a většinou si mohou přijít na větší peníze. Také proto profese tradičních lupičů, přepadávajících banky, schází na úbytě.

Bonnie a Clyde, Jesse James, John Dillinger nebo Willie Sutton – ti všichni by lupičům pracujícím na síti mohli jen závidět.