IMLebanon

اللصوص يستغلون ثقة البنوك في شبكة سويفت لسرقتها

WellsFargo
بعد الساعة السابعة مساء يوم 12 يناير/ كانون الثاني 2015 بقليل وردت رسالة من جهاز كمبيوتر مؤمن في مصرف بانكو دل أوسترو في الإكوادور تتضمن تعلميات لبنك ويلز فارغو في سان فرانسيسكو بتحويل أموال إلى حسابات مصرفية في هونغ كونغ.
ونفذ ويلز فارغو التعليمات واعتمد على مدار عشرة أيام 12 تحويلاً على الأقل من أموال بانكو دل أوسترو وردت كل طلبات تحويلها على نظام سويفت المؤمن للتحويلات المصرفية. وبلغ إجمالي قيمة التحويلات لحسابات في مختلف أنحاء العالم 12 مليون دولار.
وتعتبر شبكة سويفت – التي تسمح للبنوك بتحويل مليارات الدولارات كل يوم – عماد النظام المصرفي الدولي.
ويعتقد البنكان الآن أن هذه الأموال سرقها متسللون مجهولون، حسبما ورد في وثائق دعوى قضائية رفعها بانكو دل أوسترو على ويلز فارغو في نيويورك هذا العام، مطالباً برد الأموال وفوائدها.
وامتنع البنك الإكوادوري عن التعليق.
أما ويلز فارغو فقد امتنع في البداية عن التعليق ثم أرسل بياناً قال فيه إنه تعامل على نحو سليم مع التعليمات التي أبرقت إليه عبر رسائل نظام سويفت وليس مسؤولاً عن خسائر بانكو دل أوسترو.
وتستند الدعوى إلى أنه كان من واجب البنك الأميركي أن يخطر البنك الآخر بأن هذه العمليات مشبوهة.

ورد ويلز فارغو قائلاً إن ثغرات أمنية في عمليات البنك الإكوادوري هي السبب في خسائره. وقالت ويلز فارغو في مذكرة قدمتها للمحكمة في فبراير/ شباط الماضي إن متسللين حصلوا على بيانات الدخول على نظام سويفت لأحد موظفي بانكو دل أوسترو.
وسويفت ليست طرفاً في القضية.
ولم يخطر أي من البنكين شبكة سويفت بالسرقة، وقالت الشبكة إنها لم تعلم بها سوى من خلال تقرير لرويترز.
وقالت سويفت في بيان “لا بد أن يخطرنا العملاء بمثل هذه العمليات الاحتيالية إذا كانوا يهتمون بمنتجاتنا وخدماتنا حتى يمكننا أن نحيط المجتمع الأوسع بها علماً وندعمه. وقد اتصلنا بالبنك المعني للحصول على مزيد من المعلومات ونعمل على تذكير العملاء بالتزامهم بإطلاعنا على هذه المعلومات”.
ولا تملك سويفت إلزام عملائها من البنوك على وجه التحديد بإبلاغها بالسرقات.
وقال موظفون سابقون في سويفت وخبراء في الأمن الإلكتروني إن البنوك لا تعلن في كثير من الأحيان عن مثل هذه السرقات، خشية أن تبدو وكأن بها ثغرات تجعلها مطمعاً للصوص.

وتثير الدعوى القضائية التي لم تنشر تفاصيلها من قبل تساؤلات حول الرقابة في شبكة سويفت واتصالاتها بالبنوك الأعضاء في ما يتعلق بالسرقات الإلكترونية والمخاطر التي تواجهها.
وقد سلطت أضواء مكثفة على الشبكة منذ سرق لصوص إلكترونيون 81 مليون دولار في فبراير/ شباط من حساب لبنك بنغلاديش المركزي لدى بنك نيويورك الاحتياطي الاتحادي.
وربما يعزز نقص الإفصاح في هذا المجال ثقة البنوك العمياء في أمن شبكة سويفت، إذ يقول الموظفون السابقون في سويفت وخبراء الأمن الإلكتروني إن البنوك تعتمد بصفة روتينية الطلبات الواردة إليها عبر هذا النظام دون أي سبل إضافية للتحقق من صحتها.
وقال جون دويل الذي شغل عدة مناصب رفيعة في سويفت بين عامي 1980 و2005 إن المجرمين الذين يقفون وراء هذه السرقات يستغلون استعداد البنوك لاعتماد الطلبات الواردة عبر سويفت كما هي دون أي إجراءات إضافية؛ سواء يدوية أو آلية للتحقق منها.
وقال هيو كومبرلاند مدير التسويق السابق في سويفت الذي يعمل الآن في شركة بوست كوانتم للأمن الإلكتروني إن البنوك تخشى أيضاً إخطار سويفت أو أجهزة إنفاذ القانون بالثغرات الأمنية؛ لأن هذا قد يؤدي إلى تحقيقات تسلط الضوء على فشل إدارة المخاطر أو عدم الالتزام باللوائح بما قد يؤدي إلى إحراج المديرين.
وقال سالفاتوري سكانيو المحامي بشركة لودفيج آند روبنسون في واشنطن إن حالات تحويل الأموال دون إذن من أصحابها نادراً ما تخرج إلى العلن لأسباب منها أن الخلافات تسوى في العادة بين الطرفين أو من خلال التحكيم الذي يتم في العادة سراً.
وقال سكانيو إنه عمل مستشارا في نزاع على أموال مسروقة تقدر بملايين الدولارات وإرسال طلبات بالاحتيال على نظام سويفت مماثلة لما حدث في حالة بانكو دل أوسترو.
وامتنع عن الكشف عن أسماء البنكين المعنيين أو تفاصيل أخرى.
وفي الأسبوع الماضي أعلن بنك تين فونغ الفيتنامي أن حسابه في شبكة سويفت استخدم في محاولة اختراق العام الماضي.
ورغم فشل هذه المحاولة فهي علامة أخرى على تزايد استهداف المجرمين لشبكة سويفت.
وقد جاء في دعوى البنك الإكوادوري أن سيتي بنك حول 1.8 مليون دولار، تنفيذاً لطلبات احتيالية وردت من جهاز كومبيوتر متصل بشبكة سويفت في بانكو دل أوسترو.
وأوضحت مذكرة قدمت للمحكمة أن سيتي بنك رد 1.8 مليون دولار للبنك الإكوادوري. وامتنع سيتي بنك عن التعليق.
أما ويلز فارغو فقد رد للبنك الإكوادوري مبلغ 958700 دولار من تحويل قيمته مليون و486230 دولاراً إلى حساب باسم خوسيه ماريانو كاستيلو لدى ويلز فارغو في لوس أنجليس. ولم تستطع رويترز التوصل إلى كاستيلو أو حتى التحقق من وجوده.
وقال كومبرلاند إن سرقة بانكو دل أوسترو وغيرها تؤكد حاجة البنوك في مثل هذه الصفقات لتقليل اعتمادها في أمن التحويلات على سويفت وتقوية سبل التحقق الأخرى من صحة طلبات التحويل.