2.1.3　跨境资金安全堪忧

SWIFT（Society for Worldwide Interbank Financial Telecommuni-cations，环球同业银行金融电讯协会）是总部设在比利时布鲁塞尔的非营利性的国际合作组织，同时在荷兰阿姆斯特丹和美国纽约分别设立交换中心，并为各参加国开设集线中心，为国际金融业务提供服务。SWIFT运营着世界级的金融电文网络，银行和其他金融机构通过它与同业交换电文来完成金融交易，并向使用SWIFT网络的金融机构提供软件和服务。

2016年4月25日，SWIFT通过路透社向客户发布警告称：“SWIFT意识到，在最近的几起网络事件中，恶意攻击者通过金融管理后台的本地端口连接至SWIFT网络，入侵SWIFT客户端获得提交SWIFT报文的权限。” 被攻击对象包括南亚某国央行、东南亚和南美的商业银行。其中，南亚某国央行被黑客攻击导致8100万美元被窃取的事件曝光后，央行行长辞职，对相关机构声誉、资金安全等造成较大负面影响。

国内的安全服务公司360对此轮攻击进行了分析总结：

1） 攻击者熟悉目标银行作业流程。 如在东南亚的某商业银行的案例中，从将恶意程序伪装成福昕PDF阅读器，到对MT950的对账单PDF文件进行解析和精确篡改等，都反映出攻击者对银行内部交易系统和作业流程非常熟悉。攻击者的攻击意图明确，而攻击者要如此了解相关信息和展开相关攻击行动，事前应该进行了大量侦查和情报收集工作，但这些攻击行为未被有效发现和应对。

2） 攻击手法：相关恶意代码与某黑客组织有关联。 360对SWIFT攻击事件中的恶意代码与某黑客组织所使用的相关恶意代码的样本，在代码层面进行同源性特征分析，发现其中一个特殊的安全删除函数基本上进行了代码复用。从这一点来看，其中的两起攻击事件应该与该黑客组织有一定的联系，但由于这些代码之前已被安全机关发布，所以不具备强关联性。

3） 银行等金融行业本身暴露出诸多安全问题。 其中2013年和2015年两起攻击银行的事件确定是通过网络进行攻击获得相关转账权限的，另外东南亚某银行和南亚某央行也是自身访问控制环节发生了问题，导致攻击者具备发送SWIFT转账指令的权限。

这些问题明显暴露出银行自身的安全防护能力薄弱。攻击者通过网络攻击就可以获得SWIFT权限并加以操作，以及攻击者对SWIFT的Alliance Access客户端软件的权限检测指令可绕过相关验证等，都暴露出SWIFT系统本身也存在一定问题。

从以上安全事件中可以看出这样的轨迹：

1）金融系统存在漏洞。

2）居心叵测且有能力的攻击者发现并利用漏洞获取系统、数据权限，攻击者利用权限非法获利。

3）金融机构资金或客户遭遇损失，采取技术防范以及报案等措施止损。

4）司法机关强力介入搜寻证据并抓捕犯罪嫌疑人。

5）金融机构检查内部技术和管理问题，修补系统漏洞，改进管理流程，提升安全水平。 c0acyU3zYIYjwH3H5Ervis9kQV2BaJkbocpOOqIx77ig4pmNLOmmdhzt67jzoVf1