央行“抢劫指南” || 朋友说 | 第84说

文／俞子匠

三月初的一个清晨，我边吃早餐边听BBC News，手中蘸上黄油的一撮面包在送入口的当口儿停住，女儿看着我那呆若木鸡的样子好奇地问我是怎么了，我示意女儿放低嗓音，耳中正传来孟加拉国央行指责美国纽约联邦储备银行“弄丢”了该国8100万美元的新闻。作为一名前银行工作人员，该新闻令我感到震惊是可以理解的，如果该笔“巨款”真的是被纽约联邦储备银行弄丢了，那在纽约联邦储备银行开户的全球250多家央行和政府金融机构岂不是要形成挤兑潮，难不成全球金融秩序又要大乱了？

好在各国央行不同于商业银行的零售客户，不会轻易被错误信息诱导。“网络刑警”们也很快找出了问题的根源，不是出在纽约联邦储备银行身上，而是来自孟加拉国央行自身。

3月9日，纽约联邦储备银行发布声明，表示没有任何证据证明其系统被如黑客入侵，所执行的转账指令是严格按照标准的认证协议执行且通过“环球同业银行金融电讯协会”（SWIFT）报文系统验证。

3月15日，原定于今年8月退休的孟加拉国央行行长拉赫曼引咎辞职，该国警方17日针对此案启动刑事调查，而该劫款已流入菲律宾和斯里兰卡，流向包括菲律宾赌场等机构。

先根据目前的调查结果介绍案件经过：

孟加拉国央行劫案的计划实施始于今年1月，入侵者（黑客）将恶意软件（malware）植入孟加拉国央行的电脑系统，根据目前所搜集到的信息，入侵者在窃取银行转账安全证书后，通过SWIFT报文系统发送虚假转账指令进行劫款。

2月4日，入侵者原计划通过三十余笔转账从纽约联邦储备银行获取总计约9.5亿美元的孟加拉国央行存款，如果成功，定将成为史上最大的银行劫案。这些转账指令看似真实：从孟加拉国的服务器上发出且指令能够通过验证。只是在成功地将总计8100万美元的四笔款项转至菲律宾后，第五笔转账指令在执行中被中转行德意志银行发现问题：该笔2000万美元的转账指令的收款人为斯里兰卡的一个名为“沙立卡基金会”的非营利组织，该指令错将“基金会”的英文“foundation”拼成了“fandation”。在收到德意志银行提出进一步确认信息的要求后，纽约联邦储备银行紧急停止了余下总计8.5亿美元的转款。纽约联邦储备银行表示此前因收到多笔将央行存款转至私人企业的转账指令已经警告过孟加拉国央行。

目前，孟加拉国央行已追回转向斯里兰卡的2000万美元款项，而转入菲律宾的8100万美元在通过一家当地商业银行过桥后，经一家当地汇款公司转入菲律宾赌场账户。菲律宾的这家商业银行的劫款过桥经过也充满疑点：该行表示曾试图在劫款被转出前冻结涉嫌账户。然而该行的一名分行行长选择无视总行的要求并将账户内余款转出。目前尚无法得知该行长是否为单独作案，更为蹊跷的是这位行长的律师声称该行长只是这个事件中的替罪羊，而银行高层才是幕后主使。总之，该案目前仍然疑点重重。

那究竟能从孟加拉国央行大劫案中学到些什么呢？（如果您是想从罪犯角度了解如何打劫央行，恐怕要令您失望了，接下来所要谈到的是从金融机构视角出发探讨如何避免被劫的经验和教训。）

第一，央行往往是网络劫犯眼中的“肥羊”并且始终处在被攻击的状态。尤其是那些发展中国家，其不断积累的新增资本和较弱的网络安全系统使其成为网络劫犯的攻击对象。拿孟加拉国举例，孟加拉国近年来积累了大约280亿美元的外汇储备，但其网络防御的松懈程度令人震惊，简直是劫犯们梦寐以求的目标。

第二，认错要快。对于破案来说，时间是很紧急的，但是孟加拉国央行直到案情发生一个月后才发声，与此同时，被盗资金已经在全球转悠了很久了。亚洲各国应对此类网络犯罪事件更好地共享信息才能更快地破案以弥补损失。

第三，网络安全是每个人的责任。“不是技术人员所以责任不在我”这种借口最终导致了孟加拉国央行行长的下台，恶意的黑客攻击可以归因于简单的人为错误，比方疏于复杂的加密程序、懒于频繁更换密码、不定期加强认证系统等。持续的网络安全培训和时刻保持警戒的心理也是防范的必要手段。

第四，全球化背景下的网络金融案件防范需要全球配合。本案中的入侵者利用了菲律宾的赌场作为其洗钱的工具。并非巧合的是，菲律宾的立法机构一直以来豁免其国内赌场的洗钱审查，于是成为了犯罪分子洗钱的温床。不仅是菲律宾，全球仍然有太多地区有着宽松的法律和审查制度，如何通力改变这些国家的制度已变得非常紧迫。

第五，“黑客”并非是罪犯的代名词，全球有着众多的黑客正被有着极高网络安全要求的机构所聘用为其寻找系统中的漏洞以提前预防攻击，比方谷歌（Google）和脸书（Facebook）于2014年分别支付了150万和130万美元给找出其系统漏洞的黑客们。建议金融机构也做些此类尝试，内部的网络安全人员未必比外部黑客们来的高明，何不在出现问题前多做一些预防措施呢？

最后，分享一条去年由著名俄罗斯网络安全公司“卡巴斯基实验室”（Kaspersky Lab）所公布的信息以给各位金融高管提个警醒。根据“卡巴斯基实验室”调查，在过去两年内，一个由多国网络罪犯所组成的团伙从全球100多家金融机构窃取了超过10亿美元的资金。

最后的最后，如果您对我所收集的孟加拉国央行劫案时间轴有兴趣，可以继续阅读以下部分，需节约时间的读者可以略过。

2015年5月15日

入侵者以虚假身份在菲律宾中华银行（Rizal Commercial Banking Corporation）的马卡蒂（Makati）金融区分行开立了四个账户。

2016年2月4日

入侵者向纽约联邦储备银行发送了至少35份孟加拉国央行的SWIFT支付指令，总净额超过9.5亿美元。在执行完四笔支付指令共计8100万美元后，德意志银行在第五笔支付指令中发现收款人（受益人）名称的拼写错误并要求确认，纽约联储银行在无法获得孟加拉国央行对余下的8.5亿美元支付指令确认的情况下停止了其余交易。

2016年2月5日

一位孟加拉国央行的高管发现打印隔夜SWIFT交易纪录的打印机上空无一物，平时即使没有交易也应打印空白纪录页。他和同事们花了24个小时才手工打印出这些交易明细并在明细中发现了这些可疑交易。

同日，有人以“William Go”的名义在菲律宾中华银行开立了一个账户。不久，一名使用“Jessie Christopher Lagrosas”假身份的疑犯在菲律宾中华银行的柜台从2015年开立的账户中提取了2270万美元并存入“William Go”的账户中。菲律宾华裔商人William So Go否认与该账户有关并声称有人仿造其签名。

2016年2月6日

一名孟加拉国央行的员工发现与其SWIFT系统相连的软件毫无响应，他与他的同事最终发现纽约联储银行曾经发送过46条支付转账指令的确认信息。

2016年2月8日

孟加拉国央行终于发现有五笔未经授权共计1亿1000万美元的转账指令（其中8100万转入了菲律宾中华银行的上述账户，2000万转入了斯里兰卡泛亚银行（Pan Asia Banking Corporation）），随即向包括纽约联储银行、菲律宾中华银行、纽约梅隆银行、花旗银行、富国银行和斯里兰卡泛亚银行在内的多家银行发出了停止支付的指令。

转向斯里兰卡的泛亚银行的款项由于收款人名称拼写错误而并未实际转入该账户，而菲律宾中华银行在收到孟加拉国央行的停止支付指令时恰逢菲律宾法定假日。

2016年2月9日

菲律宾中华银行回复孟加拉国央行表示这些涉嫌账户已被冻结，然而该行的一名分行行长强行允许涉嫌账户内的款项转向“William Go”的账户。

2016年2月5日至13日

菲律宾中华银行从“William Go”的账户向一家当地汇款公司转账8100万美元，而这家公司之后将该款项转移至赌场中介人Weikang Xu、东方夏威夷休闲有限公司以及太阳城赌场运营商Bloomberry的银行账户。

2016年2月16日

孟加拉国央行和孟加拉国金融情报部门前往菲律宾反洗钱委员会寻求失窃资金的追索协助。

2016年2月17日

斯里兰卡泛亚银行通过德意志银行退回了其收到的2000万美元。

2016年2月29日

菲律宾反洗钱委员会向法院申请冻结2015年开立的四个涉嫌账户以及“William Go”的账户的冻结令。

2016年3月1日

法院签发冻结令。

2016年3月8日

孟加拉国央行发布声明，追查流入菲律宾的失款。

2016年3月9日

纽约联邦储备银行发布声明，表示没有任何证据证明其系统被如黑客入侵，所执行的转账指令是严格按照标准的认证协议执行且通过“环球同业银行金融电讯协会”（SWIFT）报文系统验证。

2016年3月13日

孟加拉国财政部长表示他将对无能的孟加拉国央行采取行动。

2016年3月15日

孟加拉国央行行长引咎辞职。

菲律宾议会正式开始调查此案。中华银行当日股价下跌5.1%。

2016年3月17日

涉嫌分行行长通过其律师表示该行长有电子邮件、手机短信和其他证据证明其只是接受上级的指示办事。对此，中华银行予以否认。但至少有两名该行高管涉嫌参与此案。

此案目前仍在调查阶段，而孟加拉国央行是否存在内鬼依然不得而知。

???

秦朔朋友圈微信公众号：qspyq2015

商务合作｜请联系微信号：qspyqswhz

　　(本文作者介绍：)

　　本文为作者独家授权新浪财经使用，请勿转载。所发表言论不代表本站观点。