Tutta colpa di un typo: hacker bancari perdono quasi un miliardo di dollari

Un errore nello spelling in un'istruzione per il trasferimento di alcune cifre bancarie ha aiutato a prevenire un disastro finanziario del valore di quasi un miliardo di dollari. La notizia, che sta rimbalzando su vari canali mediatici internazionali, è stata confermata da alcuni funzionari bancari delle due istituzioni coinvolte. Gli hacker, ancora a piede libero, sono riusciti a rubare circa 80 milioni di dollari, cifra che lo pone come uno dei colpi bancari più grossi di tutta la storia.

I cyber-criminali sono riusciti a irrompere nelle difese dei sistemi della Bangladesh Central Bank, rubando le credenziali per effettuare i grossi trasferimenti monetari. Hanno poi bombardato i sistemi della Federal Reserve Bank of New York con circa tre dozzine di richieste al fine di trasferire i soldi da un account della banca americana ad alcuni account nelle Filippine e Sri Lanka. Quattro richieste verso le Filippine sono andate in porto, per un valore di 81 milioni di dollari, non è andata troppo bene per la quinta.

Quest'ultima, del valore di 20 milioni, era rivolta ad una organizzazione non-profit dello Sri Lanka nota come Shalika Foundation. Gli hacker hanno tuttavia sbagliato la stesura del nome, scrivendo "fandation" al posto di Foundation. È qui che una delle banche di routing coinvolte, Deutsche Bank, è entrata nel merito del trasferimento di denaro: insospettita dall'errore ha infatti richiesto ulteriori indagini alla Bangladesh Central Bank, che ha fermato la quinta operazione (che non sarebbe stata l'ultima).

Si è scoperto così che non esiste alcuna ONG con il nome di Shalika Foundation nello Sri Lanka. Allo stesso tempo, le richieste di pagamento e trasferimenti di denaro successivi rivolti a enti privati hanno destato ulteriori sospetti da parte della banca USA, che ha allertato le istituzioni del Bangladesh. Pare che i soldi provenissero da un account legato alla Federal Reserve Bank of New York contenente miliardi di dollari, utili per rispondere ad eventuali accordi internazionali.

Le transazioni bloccate per via del "typo", del refuso, erano del valore complessivo di circa 850/870 milioni di dollari. La Bangladesh Bank è riuscita a recuperare una parte dei soldi rubati, e sta collaborando con le autorità di anti-riciclaggio di denaro delle Filippine per cercare di recuperare la parte restante. I fondi recuperati fanno invece parte dei trasferimenti avvenuti verso lo Sri Lanka, il quale pare che sia stato fermato in tempo dai tecnici.

Questo raccontato da Reuters è solo l'ultimo, in ordine cronologico, dei casi di hacking di grossa portata a nostra conoscenza. Lo scorso anno Kaspersky sosteneva che una gang internazionale di cyber-criminali fosse riuscita a rubare in soli due anni circa 1 miliardo di dollari da parecchie istituzioni finanziarie in tutto il mondo. Il nuovo attacco avrebbe potuto ottenere lo stesso risultato in un tempo ancora più ridotto, con una serie di operazioni estremamente mirate.

Il caso dimostra come sia possibile, da parte di grosse istituzioni criminali, trovare punti deboli, vulnerabilità, all'interno di quelle reti che per definizione dovrebbero essere le più sicure al mondo. Ancora oggi, a circa un mese dall'attacco, varie organizzazioni in tutto il mondo stanno cercando di rimettere insieme i cocci, rafforzare la sicurezza e identificare quali siano state queste vulnerabilità. La speranza di catturare questi hacker è inoltre sostanzialmente assente, secondo i funzionari coinvolti.

Chi ha eseguito l'attacco, stando a quanto hanno rivelato gli esperti di sicurezza interpellati nel caso, aveva una profonda conoscenza del funzionamento interno dell'istituzione del Bangladesh, probabilmente ottenuta spiando gli addetti ai lavori assunti all'interno dello stabilimento. Il governo dello stato asiatico ha dato parte della responsabilità alla Federal Reserve Bank of New York per non aver fermato le transazioni. Il Ministro delle Finanze del Bangladesh, Abul Maal Abdul Muhith, ha detto alla stampa che il governo sta pensando di citare in giudizio la banca americana per recuperare il denaro perso.