A közelmúltban a New York Times számolt be egy tavaly december és idén február között történt bankkártya-csalásról, melynek során a rablók 45 millió dollárt zsákmányoltak pár óra alatt. Az eset jól illusztrálja, hogyan zajlik egy modern bankrablás.

Nincs maszk és fegyver ■ A bankrablók is korszerűsítették az eszköztárukat. Nincsenek fegyverek, maszkok, van helyettük notebook és internet. Így nagyobb haszon, és kisebb a lebukás veszélye is, mert a felderítés komoly nehézségekbe ütközhet, főleg ha az elkövetők nemzetközi színtéren dolgoznak.



A nemzetközi szintű nyomozás során bebizonyosodott, hogy a nagyszabású akció kiinduló pontja egy adatbiztonsági incidens volt. A kiberbűnözők hozzáfértek egy indiai vállalat azon adatbázisához, amelyből rengeteg bankkártyaadatot tudtak „kiszivattyúzni”. A kártyaadatok nagy többsége egy az Egyesült Arab Emirátusokban működő bank ügyfeleihez tartozott. Ráadásul az incidensben érintett bankkártyák egyike sem rendelkezett chippel, vagyis régebbi, a klónozásra sokkal érzékenyebb, mágnescsíkos kártyák voltak.

A kiberbűnözők az adatok birtokában már tavaly nekiláttak a kártyák klónozásának, majd december 22-én meg is indították az első akciójukat, amivel 5 millió dollárt kasszíroztak. Az akció rendkívül kiterjedt és szervezett volt: 20 országból hajtották végre mindössze néhány óra leforgása alatt. Ez volt a kezdet. Február 19-én ugyanis újabb támadásba lendültek. Viszonylag rövid idő alatt az újabb összehangolt akcióval mintegy 40 millió dollárt loptak el. A nyomozó hatóságok eddig körülbelül 36 ezer illegális tranzakciót tudtak azonosítani, amiből arra következtettek, hogy a bankrablók több százan lehettek.

Bár azt még egyelőre nem sikerült felderíteni, hogy ki vagy milyen csoport állt a támadás mögött,  az Egyesült Államokban letartóztattak hét személyt, akik a februári akció során New York-i ATM-ekből összesen 2,4 millió dollárt vettek ki a hamis klónozott kártyákkal. Rajtuk kívül a Dominikai Köztársaságban is letartóztattak nyolc embert, akik szintén kapcsolatba hozhatók a támadással.


Az eset nem egyedi ■ Bár a támadás mérete rendkívüli, az elkövetés módjára volt már példa. 2008-ban például a WorldPay szenvedett el egy hasonló incidenst, amelynek levezénylésében egy orosz banda vett részt. A mostanihoz – szervezettségében, az elkövetés módjában, nemzetközi kiterjedtségében –  kísértetiesen hasonló események végül 9 millió dolláros kárhoz vezettek. Az akkori elkövetőket végül 2010-ben sikerült kézre keríteni és letartóztatni.

Arra az amerikai nyomozást vezető szakemberek is felhívták a figyelmet, hogy itt rendszerszintű problémáról van szó, hiszen nem elég a kártyákat klónozni, a hozzájuk tartozó adatokat is módosítani kellett, azaz itt az egész rendszer manipulációját lehet feltételezni. Biztonsági szakértők szerint persze már a chipes kártyák használata is sokban segítette volna a rendkívüli méretű rablás megelőzését.

(Az cikk a Biztonságportálon megjelent írás szerkesztett változata.)