该协会在致客户的一封信中透露,自孟加拉银行遭窃以来,网络窃贼可能加紧了攻势,尤其是针对那些接入SWIFT系统但安全措施宽松的银行。
SWIFT在信中透露,又有一些银行或机构在新一轮网络袭击中蒙受经济损失,但没有披露具体金额,以及哪些银行遭到攻击,只表示受攻击的银行分布于不同地区,规模不等,接入SWIFT的方式也各不相同。
SWIFT发言人拒绝就信中所涉内容作进一步展开。
SWIFT总部位于比利时布鲁塞尔,是一家由金融机构共同拥有的私营股份公司,由会员银行和其他金融机构协同管理。截止到2010年9月为止,SWIFT的服务已经遍及209个国家和地区,接入的金融机构超过9000家。平均每日传送电文1500多万条。
其电文格式已成为国际银行间数据交换的标准语言。在电汇时,汇出行按照收款行的SWIFT代码向其发送付款电文,就可将款项汇至收款行。该代码相当于各个银行的身份证号。
银行安全防护薄弱
所有受到攻击的银行都有一个共同点,即存在本地安全漏洞。黑客就是利用这些漏洞攻陷了银行的本地网络,并发出了请求转账的虚假电文。
名义上,SWIFT是一个高度安全的专用网络,很多银行通过设置,只允许特定交易方之间进行特定交易,因此是很难从外部打入的。但如果黑客侵入银行的本地系统,这一层保护就形同虚设了。
今年2月,孟加拉银行遭黑客入侵,差点被转走10亿美元。只因黑客在交易订单中拼错了一个单词,被作为代理行的德意志银行发现。德意志银行因向孟加拉国方面求证,才导致交易被终止。但此时,黑客已经成功转走了8100万美元。
据孟加拉国警方透露,该国央行没有设立防火墙,网络连接用的是一部10美元的二手交换机。而黑客正是利用薄弱的安全措施,侵入该行的计算机,攻陷了用于支付的SWIFT软件,并用来发送大额的SWIFT转账请求,而且没有在孟加拉国留下任何蛛丝马迹,就把钱汇往了世界其他地区。
事件发生后,孟加拉银行行长拉曼(Atiur Rahman)引咎辞职。
类似事件还有很多,去年,厄瓜多尔的一家银行遭到黑客袭击,被窃走1200万美元;越南先锋银行也在当年遭到攻击,所幸未曾蒙受经济损失。
网络安全亟待加强
面对这一形势,SWIFT逐步推出了多项安全措施,并反复敦促各成员行加以实施。这些措施包括巩固用户身份验证系统,以及更新电文收发软件。但作为一家非营利性质的协作机构,SWIFT无权对成员行实施监管,故这些措施的推行步履维艰。
SWIFT为成员行设置了一个最终期限,即在11月19日前安装它的最新版软件,其中包含专门针对近期攻击的最新安全功能,包括使用技术手段,对接入银行SWIFT系统的用户身份加以验证;对密码设置实行更加严格的规定;改进工具,以更好地侦测潜在的攻击行为。
SWIFT称,若银行拒不执行,它可能向监管机构和银行业合作伙伴报告相关信息。
由于这类信息会对市场信心造成打击,所以无论哪家银行都不愿在自己未曾批准或参与的情况下,让信息公之于众。央行安全问题独立顾问舒克(Shane Shook)说,SWIFT正是想以公开这方面的机密信息作为要挟,迫使成员行将网络安全摆在头等重要的位置。
全球各地的监管机构也都敦促银行增强安全防线。
4月份,英格兰银行下令,要求英国企业界详细上报为加强SWIFT系统安全性采取的措施。5月,欧洲银行业管理局表示,各国当局应对银行展开网络安全方面的压力测试。
6月,美联储等机构呼吁美国银行审核相关保护措施,提防虚假转账请求。
近日,6名美国参议员呼吁,20国集团在本周末于中国杭州召开峰会时,应着力商讨针对重要金融机构的网络犯罪问题,并达成协同一致的应对策略。