坐在家中點擊滑鼠，萬里之外ATM吐鈔……

1.

2016 年 7 月 6 日，超級颶風尼伯特達到了強度巔峰。幾乎籠罩了整個西北太平洋的熱帶氣旋，即將於不久後肆虐台灣。

7 月 10 日晚間，台北人都躲在家中，等待風暴的消縮。

一對情侶來到台灣第一商業銀行古亭分行，排隊等著取款。

排在他們前面的是兩個俄國人。他們站在提款機前，並沒有插入銀行卡，也沒有進行任何操作，只是站在那裡，玩著手機。

這讓外面的人感到奇怪，但在當時沒有人意識到，在尼伯特離去之際，卻有另一場精心謀劃的黑客風暴正在登陸台灣。

而這兩個被帽子和口罩遮住了臉的俄國人，即將犯下台灣歷史上規模最大、影響最為惡劣的提款機劫案。

緊接著，更令人驚訝的事情發生了：大量鈔票突然從提款機里噴出。鈔票很快飛滿了狹窄的房間，在地面上堆了厚厚的一層……

謝爾蓋·別列佐夫斯基和弗拉基米爾·伯克曼，從地上快速地撈起鈔票，瘋狂塞進包中。沒過多久，包就裝滿了。

二人摸了摸帽子和口罩，快步離開了銀行，和被他們驚到不敢出聲的那對情侶擦身而過，鑽進一輛黑色轎車，消失在雨中。

一切開始的太快，也彷彿結束在瞬息之間。

後面的人開始報警。當他們靠近提款機，發現旁邊的地上仍有俄國人未來得及裝進包里的 6 萬新台幣鈔票，和一張銀行卡。

通過監控錄像，警察追蹤別列佐夫斯基和伯克曼到了台北君悅酒店，結果發現他們早已退房離開。警察又通過車牌號追蹤到桃園機場，發現俄國人已經在早上 7 點登上國泰航空的班機，經香港飛回了莫斯科。

據台灣媒體，在超級颶風和黑客風暴同時席捲台灣的那個周末，共有 15 人通過同樣的方式，洗劫了第一商業銀行共 22 家分行和 41 台提款機，盜走了約 7,000 萬新台幣。

《彭博商業周刊》則報稱數額更大，達到 8,300 萬新台幣，約合 270 萬美元或人民幣 1800 萬元。

為什麼不插卡、不進行操作，甚至不用碰任何東西，就能讓 ATM 機「自動吐鈔」？為什麼他們又膽敢盜走數額如此巨大的現鈔，裝箱子都要裝好幾箱，存不進銀行，上飛機也帶不走，又怎麼回收？

這到底是一個什麼樣的犯罪組織？警察對這種神奇的作案方式深感不解。

原來，臭名昭著的 Carbanak 犯罪集團，又開始行動了。

2.

Carbanak 犯罪集團因其使用的軟體聞名，軟體最早的版本叫做 Anunak，主要攻擊銀行，通過劫持提款機來獲益。

2013 年，烏克蘭的一家銀行發生了第一起劫案，監控系統發現有人凌晨時間在提款機上，不用插卡也不用輸密碼就取走了大量的現金。

和台灣人一樣，烏克蘭人最一開始也覺得是提款機被攻破了。銀行請來了卡巴斯基，安全人員查看提款機，發現外觀沒有任何損壞，硬體沒有被侵入，硬碟上也沒有可疑記錄。

後來調查範圍擴大到了銀行內部員工，才發現了問題所在：有人打開了一個包含惡意軟體的 Word 文檔，而發送者偽裝成了製造提款機公司。

到了 2014 年，軟體升級為 Carbanak，波及了烏克蘭和俄羅斯的更多銀行。

到了 2016 年，Carbanak 又升級成了 Cobalt，不但可以擾亂提款機，還可以允許黑客直接調高賬戶餘額，然後再去取錢、轉賬，或者用購買數字貨幣等方式洗錢。

也正是因為它瞄準的是金融機構，和消費者關係不太大，所以在過去知名度並不高。

但是在財務損失上，Carbanak 的殺傷力遠超 WannaCry、索尼公司和電影資料庫入侵、雅虎入侵、Target 信用卡遭竊等比較知名的漏洞/入侵事件。從 2013 年開始，Carbanak 犯罪集團已經入侵了全球超過 40 個國家的 100 家銀行和金融機構，導致超過 12 億美元失竊。

和其他黑客攻擊不同之處在於，Carbanak 攻擊者不偷走東西然後要贖金，也不通過脅迫的方式達到商業或者政治目的，他們只偷錢，偷完就走。

Carbanak 是一種非常古老的黑客侵入方式。它能夠攻破銀行，不是因為能夠擊敗銀行花費巨資建立的內部安全系統，而是在於銀行內部的某個人疏忽了，點開了郵件里不該點開的那個按鈕。

也就是社會工程學。Carbanak 犯罪團伙偽造了一種合情合理的虛假情形，讓銀行員工以為自己的操作是正確的。而這是個相當漫長的過程。

第一步：黑客偽裝成合作夥伴，發給受害者包含宏/惡意軟體的郵件，，或者要受害者點擊某個鏈接、下載某個附件。

受害者通常是銀行或金融機構裡面的職員，職位不需要很高，因為這樣的話黑客就可以偽裝成更高級別的上司，通過脅迫來取得效果。

比如，黑客可以把自己的郵件名改成受害者上司的郵件地址，偽裝成銀行高管，謊稱忘記了自己的賬號密碼，但要緊急轉一筆賬，要求員工提供自己的賬號。

（很多郵件服務都默認遮蓋郵件地址，只顯示名字，不夠警惕的人很容易上當）

GIF

第二步：當受害者完成了操作，病毒就感染了第一台肉雞。通常情況下這台設備在辦公網路里，而銀行的內部系統安全程度能抵禦外部攻擊，對內部可信設備的防範可能沒那麼好。

就這樣一傳十，十傳百，最終內部大量其他設備感染病毒，很有可能波及核心系統，將高許可權的設備和賬戶暴露給黑客。

最初的郵件里包含的木馬程序，只是開始，當系統被隱秘地貢獻後，黑客就可以上傳更多的惡意程序，實現更強大的控制。卡巴斯基發現，那家烏克蘭銀行的電腦，不但用戶的鍵盤輸入被記錄下來，就連顯示和攝像頭都被控制，可以截圖拍照機密內容，隱秘上傳到黑客控制的伺服器。

第三步：掌握了許可權後，黑客可以達成以下不同的目的：

如果是用最後兩種辦法，那麼作案就需要一個團隊了：有指揮者，有提供和實施技術的程序員，還得有最後把錢取走，風險也最大的地面人員，在 Carbanak 這行叫做「現金騾」(money mule)。通常這些地面人員一個自己的小團伙，跟一次行動里的其他成員分成。

第四步：無論是電子轉賬，還是線下取現，黑客都需要把贓款洗乾淨，可以用常見的洗錢方法，比如賭博，也可以買車買房買股票，轉換成數字貨幣是最簡單的方式。

不過在目前的行情下，想要保值可能還得再轉回法幣……

Carbanak 犯罪集團選定目標銀行，需要獲得大量的資料，對目標理解至深，好讓最初的釣魚郵件顯得很真實。他們需要找到哪個銀行高管有足夠高的許可權，誰管轉賬，誰管哪個區域，提款機的通訊和加密方式是怎樣的。

從踩點，到發起一筆轉賬或者賬戶提額，或者去提款機取錢，花費的時間可能長達數個月。歐洲刑警的專家指出，Carbanak 劫案「精心策劃、非常複雜，而且是全球性的。」

3.

全球級別的威脅需要全球級別的對策。據《彭博新聞周刊》報道，被波及的國家和地區的警方之間，共享了 Carbanak 劫案資料庫。

通過比對不同案件提取到的惡意軟體的代碼，調查人員追蹤到了他們認為的 Carbanak 病毒原作者，居住在西班牙港口城市阿利坎特的丹尼斯·卡塔納 (Denis Katana)。

卡塔納是烏克蘭人，這也解釋了為何最早遭竊的是烏克蘭的銀行。

西班牙警方發現這個人有很多不正常的細節：比如，曾有被警方名單上的犯罪分子和他有過接觸；他個人租用海外的伺服器，通常運作跨境業務公司才會這樣做；此人不會西班牙語，和老婆孩子一起住，沒有什麼社交，在監控期間一次都沒有出去散心，儘管住地離海灘只有幾個街區。

隨著長時間的監控，警方逐漸對卡塔納有了更多的了解，確定了此人嫌疑甚大：他跟俄羅斯和烏克蘭的夥伴有郵件往來，這個團伙之間有分工：有人負責發釣魚郵件，有人負責在作案期間和之後清理記錄。

卡塔納的職責比較關鍵，負責偵查銀行，操縱資金流向，就像機場的空管一樣，擁有全局視野，掌握信息和動向。

在他的控制下，不同的人組成了多個團伙，先後攻擊了各個國家的銀行，成功率幾乎百分之百。西班牙警方將卡塔納形容成黑客界的納達爾：「能像做他這些事情的，全世界沒幾個人。」

監控期間，警方深入觀察了 Carbanak 犯罪集團的一次技術升級。如果說過去的 Carbanak 軟體是純粹的惡意軟體，那麼新升級的 Cobalt 還是惡意軟體，但是披了一層安全檢查軟體的外衣。

打開缺口的還是釣魚郵件，一次比一次更像官方的。現在團伙冒充的是金融監管機構，附件是一個號稱能檢測出系統里 bug 的軟體，口徑是強制銀行運行。

由於銀行之間，特別是不同國家銀行幾乎沒有安全方面的溝通，團伙就這樣一家又一家地滲透，每家提大約 1200 萬美元。高智商犯罪，大抵如此。

但是 Carbanak 團伙也不是完全的無懈可擊。

就像黑客入侵利用的是社會工程學，靠的是銀行員工的疏忽——團伙成員被捕，也是因為在反偵察上出了紕漏。

在 2016 年台北的那起劫案中，直到別列佐夫斯基和伯克曼離開之前，計劃都很穩妥。由於只有一晚的時間，他們沒來得及處理贓款就離開了台北。

僅僅五天之後，另外兩名俄國人米哈伊爾·克里巴巴和尼古萊·潘科夫降落在桃園機場，出關後去了台北火車站，從行李寄存箱里取出了三個大箱子，然後在維多利亞酒店的房間里呆了整整一天。

次日傍晚，二人前往酒店的餐館享用晚餐，慶祝這次計劃精妙的劫案正式成功，沒想到剛走出餐館，就直接被接到了警察局……

這並不是一次萬無一失的劫案，主要在於團伙低估了台北警方的偵查能力。根據不同地點提款機周圍的監控，警方很容易地就在案發兩天後找到了另一名攜款的同夥，跟蹤他到火車站，親眼看著他把裝著現鈔的三個箱子放到行李寄存。

警方開始了對火車站的監控，沒過多久就發現了克里巴巴和潘科夫。現在他們正蹲在台北的監獄裡，還有幾年的刑期。

台北的挫敗給了 Carbanak 團伙警示：要補足人員的短板，必須再次提高入侵的技術水平。

但是警察不想等了。今年三月，西班牙警方直接敲了門，卡塔納無奈地投降，甚至沒有任何反抗。螳螂捕蟬，總有黃雀在後。

警察沒收了電腦、汽車等財產，還在整理證據時發現了他這麼多年的非法所得：15,000 枚比特幣，自逮捕當時約合 1.6 億美元，今天的價值仍高達 9,100 萬美元。

可想而知此人究竟參與了多少起 Carbanak 案件……

卡塔納被逮捕

對卡塔納的審訊仍在進行中，但他的逮捕意義並沒有想像中大。

因為 Carbanak 並不是專利和獨家的技術，在類似案件流行之後，它不可避免地隨著作案人員的流動在黑客圈傳播開來，不斷複製、增生和變種。安全公司 FireEye 指出，已經偵測到 Carbanak 和 Cobalt 的變種病毒，很多團伙都在使用。

問題在於原始團伙只是想用它來賺錢，而其他犯罪組織甚至國家機構卻沒這麼「原教旨主義」。他們會將 Carbanak 及其變種用於更廣泛的意圖，從金融詐騙升級到經濟犯罪，甚至政治上的敲詐。前年美國民主黨全國委員會遭俄羅斯黑客攻擊，有一種說法就是採用的類似於 Carbanak 的方法。

更糟糕的是，這種攻擊方式在近幾年的大起大落，讓更多金融機構開始自危，尋找免疫和對抗的方式——這反而給了新的犯罪組織更多的機會。

據《彭博商業周刊》報道，最近幾周東歐的一些銀行員工開始收到偽裝成卡巴斯基的郵件，告知他們電腦已被入侵，需要下載附件免疫。而當員工打開附件時，整個網路就被變種的病毒感染了……

就這樣，低調的 Carbanak 繼續肆虐著全球的銀行、黨團和政府機構們。史上最大黑客劫案，遠未結束。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！