Fredag avslørte USAs justisdepartement en sak der en internasjonal kyberkrimliga har svindlet to arabiske banker for 45 millioner dollar. I New York var sju personer arrestert og siktet for innbrudd, svindel og hvitvasking.
Les også:
- [10.05.2013] Kybermareritt for banker
Siden har særlig nyhetsbyrået Reuters fulgt opp saken. Det melder at to nederlandske statsborgere var blitt arrestert i Tyskland 19. februar da de brukte falske arabiske bankkort til å ta ut 170 000 euro fra minibanker i Düsseldorf. Reuters melder også at to lokale IT-tjenesteselskaper etterforskes av indiske myndigheter: Begge prosesserer korttransaksjoner for de arabiske bankene som ble svindlet.
Kyberkrimligaen begikk datainnbrudd mot de to indiske selskapene og skaffet opplysninger som gjorde det mulig å tappe minibanker i 26 land med kontantkort fra de to arabiske bankene. Dataregistrene til de indiske selskapene ble manipulert for å oppheve uttaksgrensen til de aktuelle kortene. Etter innbruddene ble ligamedlemmer utstyrt med forfalskede kort og instruert til å ta ut kontanter i et svært begrenset tidsrom. National Bank of Ras Al-Khaimah PSC («Rakbank») i De forente arabiske emirater ble tappet for 5 millioner dollar 22. desember i fjor. Bank of Muscat i Oman ble tappet for 40 millioner dollar gjennom 36 000 minibankuttak i 24 land, alle innenfor en periode på ti tomer fra 19. til 20. februar.
Korttransaksjonene til Bank of Muscat ble håndtert av Bangalore-basert Enstage, mens Rakbank kjøpte korttransaksjonsprosessering fra Pune-basert Electracard Services (ECS). (Enstage er formelt registrert i Cupertino i California.) Generaldirektør Gulshan Rai i det indiske Cert («computer emergency response team») sier etterforskning av begge selskapene har pågått siden lørdag.
Både ECS og Enstage bekrefter at de har vært utsatt for angrep. ECS mener pinkoder og andre data knyttet til kortenes magnetstripe må ha vært kompromittert «utenfor ECSs prosesseringsmiljø». Mastercard eier siden 2010 en 12,5 prosent avdel av ECS. De sier at deres sikkerhet ikke er kompromittert, og at ECS har egne systemer for kortprosessering, helt atskilt fra Mastercard. Kortene som ble misbrukt i svindelen er, som nevnt, ikke kredittkort, men kontantkort uten tilknytning til en personkonto i en bank.
Enstage sier de har bedrevet egen etterforskning helt siden «det skjedde». Antakelig vises det til tidspunktet for minibankuttakene, ikke datainnbruddene.
I India frykter man at saken kan svekke tilliten til landets IT-tjenesteleverandører.
Sjef for informasjonssikkerhet i RSA, Eddie Schwartz, sier til Reuters at hackere ser på India som et hensiktsmessig mål, fordi det er mindre offentlig kontroll over håndtering av følsom informasjon samtidig som økonomi og IT-infrastruktur utvikles i høyt tempo. Han er ikke overrasket over at en internasjonal liga angriper indiske IT-leverandører i en sak som denne.
Det arabiske nettstedet Zawya.com viser til erklæringer fra henholdsvis Rakbank og Bank of Muscat om at det er bankene selv som har tapt penger på svindelen, ikke kundene.
