Có một điều đặc biệt đáng báo động về vụ cướp ngân hàng lớn nhất của Ấn Độ: tội phạm mạng không có gì để làm điều đó. Không có thiên tài công nghệ vô hình, hack vào hệ thống máy tính để bị đổ lỗi. Thay vào đó, đó là các nhân viên tham nhũng tại một chi nhánh sử dụng mạng SWIFT (Hiệp hội Viễn thông tài chính liên ngân hàng toàn cầu) đã thực hiện nó trong nhiều năm.
Trong thời đại ngày nay, các bài tường thuật về hack là an ủi kỳ lạ. Điều đó không có nghĩa là tham nhũng sẽ lên đến đỉnh, hoặc ít nhất, điều đó có nghĩa là không có sự phá vỡ hoàn toàn về an ninh của hệ thống ngân hàng. Tội phạm chỉ đơn giản là làm những gì tội phạm làm. Mọi người đều có thể lắc nắm đấm của mình trước công nghệ để thay đổi với tốc độ chóng mặt và tiếp tục. (Đọc: Cách hệ thống SWIFT hoạt động)
Nirav Modi lừa đảo 1, 8 tỷ đô la từ công ty cho vay lớn thứ hai của Ấn Độ, Ngân hàng Quốc gia Punjab (PNB.BO), kém thanh lịch hơn nhiều.
Ngân hàng đã tuyên bố trong các tuyên bố trao đổi rằng các thư tín dụng lừa đảo cho phép các công ty buôn kim cương sử dụng khoản vay trị giá 1, 8 tỷ USD là do các quan chức chi nhánh thực hiện thông qua SWIFT mà không cần sự chấp thuận của cơ quan có thẩm quyền, các ứng dụng cần thiết từ Nhà nhập khẩu, tài liệu nhập khẩu, tài liệu pháp lý với ngân hàng và cũng không cần nhập vào mô-đun tài chính thương mại của Ngân hàng CBS (giải pháp ngân hàng cốt lõi).
PNB đổ lỗi cho hai nhân viên cấp cơ sở trong tuyên bố của mình về việc phát hành các chữ cái bất hợp pháp và gửi các tin nhắn SWIFT không được ghi trên hệ thống nội bộ.
Điều này đặt ra câu hỏi, có phải tất cả các ngân hàng sử dụng SWIFT đều dễ bị loại lừa đảo này hoặc trường hợp PNB có liên quan đến mức độ sơ suất hoặc thông đồng đặc biệt không?
NHANH
Mạng SWIFT, được vận hành bởi một tập đoàn có trụ sở tại Brussels và được sử dụng bởi hơn 11.000 tổ chức tài chính, đã được sử dụng trong các vụ cướp ngân hàng trước đây.
Ngân hàng trung ương của Nga gần đây cho biết tin tặc đã đánh cắp 6 triệu đô la từ một trong những ngân hàng của đất nước sử dụng mạng SWIFT vào năm ngoái. Các tin tặc đã chiếm quyền kiểm soát một máy tính tại ngân hàng và sử dụng nó để chuyển tiền vào tài khoản của chính chúng. Tương tự, vào năm 2016, các tin tặc đã kiếm được 81 triệu đô la từ ngân hàng trung ương Bangladesh bằng cách sử dụng thông tin xác thực SWift của nhân viên. Một ngân hàng ở Ecuador cho biết họ đã mất 12 triệu đô la trong một vụ cướp năm 2015, nơi bọn tội phạm mạng sử dụng mã SWIFT.
SWIFT từ chối nhận bất kỳ trách nhiệm cho các sự cố như vậy. Trong một bức thư gửi khách hàng ngân hàng vào năm 2016, nhóm cho biết các ngân hàng chỉ chịu trách nhiệm về bảo mật hệ thống của họ. Khách hàng có trách nhiệm đối với tất cả các tin nhắn được ký với chứng chỉ của họ và tất nhiên là bảo vệ chứng chỉ của họ và đảm bảo chỉ những nhà khai thác được ủy quyền hợp lệ mới có thể sử dụng chúng để ký tin nhắn ", một phát ngôn viên nói với Reuters vào thời điểm đó., chịu trách nhiệm về các tin nhắn được tạo ra một cách gian lận trong các công ty khách hàng.
Chuyên gia phân tích và gian lận tài chính của Gartner, Manila Litan đã nói trước đây rằng điều gây sốc với cô là SWift phụ thuộc rất nhiều vào xác thực thay vì kiểm soát phát hiện gian lận rất cơ bản, như tìm kiếm người trả tiền bất thường, tìm kiếm tài khoản từ xa và tìm kiếm truy cập bất thường.
Nhưng lừa đảo Modi rất khác so với những vụ trộm này, bởi vì mặc dù các chi tiết mới xuất hiện hàng ngày, ngân hàng đã không cáo buộc hack và trọng tâm là người trong cuộc. Một tuần kể từ khi vụ lừa đảo lần đầu tiên được đưa ra ánh sáng, sáu nhân viên của Ngân hàng Quốc gia Punjab đã bị các nhà điều tra liên bang bắt giữ. Thứ hạng cao nhất trong số này là một người đàn ông đứng đầu chi nhánh Brady House của ngân hàng từ năm 2009 đến 2011.
Thích lấy kẹo từ bé
Giải thích của ngân hàng về cách các chữ cái được đưa ra mà không bị phát hiện trong nhiều năm là các giao dịch không được ghi lại trên hệ thống nội bộ của nó vì SWIFT không được tích hợp với nó.
Trừ khi môi trường kiểm soát rất lỏng lẻo hoặc có sự thông đồng, sẽ rất khó để xử lý các giao dịch SWIFT không được ủy quyền và được đưa vào ngân hàng lõi. Một số biện pháp kiểm soát đã gây ra cảnh báo, ông Rakesh Asthana, CEO của World Informatix Cyber Security, công ty được thuê để giám sát cuộc điều tra vụ cướp của Ngân hàng Bangladesh.
Các kiểm soát này bao gồm phân tách nhiệm vụ - các ngân hàng sử dụng SWIFT thường có một người tham gia giao dịch, một người riêng biệt phê duyệt giao dịch và người thứ ba xác minh tất cả các giao dịch. Ông cũng nói rằng PNB cũng có thể đã thiết lập Báo cáo xác thực hàng ngày SWIFT để điều hòa tổng số và giao dịch mỗi sáng.
Nhưng quan trọng nhất, hệ thống của một ngân hàng không được liên kết với SWIFT, như trường hợp của PNB, là rất hiếm trong thế giới tài chính toàn cầu, theo Asthana.
Ngoài ra còn có câu hỏi làm thế nào các giao dịch vượt qua kiểm toán viên của ngân hàng.
Cuối cùng, đây cũng là một vấn đề về dòng tiền, ông nói Asthana trong một email gửi tới Investopedia. Vì vậy, tôi không rõ các kiểm toán viên nội bộ và bên ngoài đã làm gì, liệu họ có kỹ lưỡng trong kiểm toán hay không. Nếu họ có bất kỳ sự phản đối kiểm toán và quản lý đã không hành động có nghĩa là một âm mưu lớn hơn nhiều sẽ đi lên trong chuỗi quản lý. Điều này cần một cuộc điều tra đầy đủ để xác định ai biết cái gì khi.
Bất kỳ hoạt động kinh doanh nào do ngân hàng thực hiện đều được kiểm toán không chỉ bởi đội ngũ kiểm toán nội bộ của ngân hàng, mà cả các kiểm toán viên đồng thời kiểm toán một chi nhánh, điều gây sốc là không chỉ có sự chú ý của kiểm toán viên mà còn cả ngân hàng cao cấp. Nhân viên cũng vậy, ông cho biết một nhân viên ngân hàng ẩn danh của Thời báo Kinh tế. Các kiểm toán của Vie nhìn vào các công ty được phê duyệt để kinh doanh, các hóa đơn được tài trợ, thư tín dụng được phát hành, các công cụ tài trợ ngắn hạn, v.v.
Nhà phân tích nghiên cứu Deepak Shenoy của Capital Mind cho biết, về mặt này, có vẻ như nhân viên cũ đang bị sử dụng như một vật tế thần. Có khả năng rất nhiều người tham gia vào việc này. Và nó đã tạo ra những khoản phí lớn, béo bở cho PNB trong những năm này.
Vụ việc cũng đã thu hút sự chú ý đến các vụ lừa đảo khác nhau đã xảy ra tại PNB và các ngân hàng quốc hữu hóa khác của Ấn Độ. Dữ liệu của Ngân hàng Dự trữ Ấn Độ mà Reuters thu được cho thấy các ngân hàng nhà nước đã báo cáo 8.670 vụ lừa đảo cho vay gian lận với tổng số 612, 6 tỷ rupee (9, 58 tỷ USD) trong năm năm tài chính gần nhất tính đến ngày 31 tháng 3 năm 2017. PNB đứng đầu danh sách này với tổng số 389 trường hợp 65, 62 tỷ rupee (1, 03 tỷ USD) trong năm năm tài chính vừa qua
SWift có thể làm nhiều hơn?
SWIFT hoạt động giống như một hệ thống nhắn tin phức tạp và không chịu trách nhiệm về cách thức kiểm soát gian lận của khách hàng.
Asthana có thể đưa ra một số yếu tố chính bắt buộc thay vì giao cho những khách hàng có mức độ kiểm soát và kiến thức an ninh mạng khác nhau, ông nói khi được hỏi liệu mạng có thể làm gì hơn để ngăn chặn những sự cố tốn kém như vậy không.
SWIFT đã nhận ra sự cần thiết ít nhất là người tố giác trong một số trường hợp. Vào tháng 4 năm 2017, nó đã giới thiệu Khung kiểm soát bảo mật khách hàng, mô tả một bộ các kiểm soát bảo mật bắt buộc và tư vấn cho khách hàng. Các ngân hàng đã được yêu cầu tự chứng thực mức độ tuân thủ của họ vào cuối năm ngoái và SWIFT cảnh báo rằng họ có quyền thông báo cho các giám sát viên tài chính nếu họ không làm như vậy. Thông cáo báo chí thông báo rằng 89 phần trăm khách hàng đạt được sự tuân thủ của họ không đề cập đến nếu giám sát tài chính của 11 phần trăm còn lại đã được cảnh báo kể từ đầu năm. Từ tháng 1 năm 2019, nó mở rộng quyền báo cáo người dùng đã không tuân thủ các kiểm soát bảo mật quan trọng nhất.
Điều quan trọng cần nhớ là vào tháng 1 năm 2018, SWIFT đã ghi lại trung bình 30, 32 triệu tin nhắn mỗi ngày và được sử dụng ở 200 quốc gia. Đây là một hợp tác xã thuộc sở hữu của thành viên và đảm bảo các ngân hàng có kỷ luật hơn sẽ là một nhiệm vụ tốn kém, tốn kém để khắc phục những gì thực chất là sự thối rữa trong quản trị của các ngân hàng riêng lẻ mà nó không liên quan, để bảo vệ tiền của mọi người mà nó không hoạt động cho
Danh tiếng của SWIFT bị ảnh hưởng sau mỗi tội phạm mạng, nhưng có rất nhiều người phải chịu trách nhiệm khi liên quan đến vụ lừa đảo mới nhất của PNB. Cuộc điều tra dường như chỉ vạch ra bề mặt của những gì các chuyên gia nghĩ là một âm mưu lớn hơn nhiều, và những câu hỏi liên quan đến việc thiếu sự giám sát cuối cùng là điều mà Ngân hàng Quốc gia Punjab và chính phủ Ấn Độ sẽ phải trả lời. SWIFT đã cung cấp cho PNB nhiều công cụ hơn để tự bảo vệ mình, những công cụ không may không được sử dụng.
Hôm thứ ba, Ngân hàng Dự trữ Ấn Độ đã công bố một tuyên bố rằng họ đã cảnh báo và cảnh báo các ngân hàng về sự cần thiết phải ngăn chặn bất kỳ "việc sử dụng độc hại nào đối với cơ sở hạ tầng SWIFT" ít nhất ba lần kể từ tháng 8 năm 2016. Hiện tại, họ đã bắt buộc các ngân hàng phải thực hiện theo quy định biện pháp trước thời hạn quy định. Ngân hàng trung ương cũng đã thành lập một ủy ban để xem xét "những lý do cho sự phân kỳ cao được quan sát thấy trong phân loại và cung cấp tài sản của các ngân hàng trong việc đánh giá giám sát của RBI và các bước cần thiết để ngăn chặn nó; gian lận trong ngân hàng và các biện pháp (bao gồm cả can thiệp CNTT) cần thiết để kiềm chế và ngăn chặn nó, và vai trò và hiệu quả của các loại kiểm toán được thực hiện tại các ngân hàng trong việc giảm thiểu tỷ lệ phân kỳ và gian lận đó."
Investopedia đã tiếp cận với SWIFT và nhận được tuyên bố sau: Sinh SWift không bình luận về các khách hàng hoặc tổ chức cá nhân. Khi một trường hợp gian lận tiềm ẩn được báo cáo cho chúng tôi, chúng tôi cung cấp hỗ trợ cho người dùng bị ảnh hưởng để giúp bảo vệ môi trường của nó. Đây là một bổ sung cho tuyên bố sau khi xuất bản từng bị xâm phạm.
