【51CTO.com獨家快譯】罪犯們有意識地攻擊了Western Beaver County School District。

他們一直等到學校行政人員去度假才下手，然后在12月29日到1月2日這4天時間內從兩個學區的銀行賬戶內取走了704,610.35美元。Western Beaver的金融機構，ESB銀行，設法挽回了一些損失，但賓夕法尼亞州學區損失了超過441,000美元。

7月9日，Western Beaver起訴ESB，試圖討回這筆錢，但安全專家說這只是近幾個月諸多令人不安的新型金融詐騙案中的一起，受害人最后常常得自己吞下苦果。

犯罪分子利用廣泛使用卻鮮有人重視的自動清算中心(Automated Clearing House, ACH)來發起攻擊。金融機構使用這個金融網絡來處理直接存款，支票，帳單支付以及企業和個人之間的現金轉移。

據休斯頓紀事報報道，今年4月，ACH欺詐分子從得克薩斯州舒格蘭區（Sugar Land, Texas）一家名為Unique Industrial Products的進口商的賬戶里轉走了120萬美元。他們侵入該公司的計算機，并且進行了39筆轉賬把資金從Unique Industrial的賬戶里轉移了出去。雖然大部分的資金后來被追回，但詐騙者還是從這次攻擊中獲取了15萬美元贓款，30分鐘的忙活能掙上這么多錢可是相當劃算了。

“ACH欺詐還在繼續增長，特別是在目前這種經濟不景氣，失業率居高不下的情況下，”Jeffery Dertz表示。他是Blackman Kallick在安全實踐小組的合作伙伴，后者是一家總部設在芝加哥的會計和咨詢公司。

調查人員說犯罪分子通過ACH欺詐，一天可以牟利上百萬美元。在面對這類欺詐時，消費者是受到法律保護的，但是對于公司和組織來說，就沒有那么多明確的法規保護了，所以有時候像Western Beaver這樣的受害者就只能吃啞巴虧了。

欺詐通常由有針對性的釣魚式攻擊電子郵件開始，目標是掌管著公司的財務大權的人。通過誘騙受害人運行軟件，打開一個有害的附件或訪問一個惡意網站，犯罪分子就能夠安裝擊鍵記錄軟件從而盜取銀行帳戶密碼。

“要是我能控制他們的證書，那我就有事可干了，”Robert West如是說。他是Fifth Third Bank的前首席信息安全官，現在是安全情報顧問機構Echelon One的首席信息官。他認同ACH欺詐正日益嚴重的說法。

Western Beaver的律師Alfred Steff拒絕對此作出評論，但在縣法院提交的文件里顯示，騙子利用計算機病毒侵入了校董會的計算機系統。

惡意軟件往往在瀏覽器內伺機而動，等待受害者登錄到銀行的網站就立即行動。當受害者隨后登錄進去時，該軟件就創建新的受款人并把向他們轉錢--一旦受害人的帳戶被黑客入侵，攻擊者要做的就是一個代號以及一個賬戶號來給錢騾（money mule)發送現金。如果必須兩個人都簽署才能轉讓，黑客就會兩個一起攻擊。

錢騾其實也是受害者。他們通常會以為是在給跨國公司做合法的財務工作。在類似Monster.com這樣的網站上被聘用后，他們被告知把資金轉移到國外后他們能得到5個百分點的回報。而一旦銀行撤銷交易，他們就得賠償。

一些安全專家認為，錢騾給追查帶來的困難正是使得現在這種欺詐數量暴漲的原因。安全廠商Trusteer估計，百分之三的用者已經感染了金融欺詐軟件。“難就難在從帳戶里搞到錢。” Trusteer的首席技術官Amit Klein說。

一位正在辦案的不愿透露姓名的調查人員說，這類欺詐能盛行的部分原因是因為欺詐性的ACH活動沒有觸發給銀行的紅色警報，尤其是涉及到一些小的地方銀行的時候。“現在問題很嚴重”他對ACH欺詐的現狀表示擔憂。“這是一個非常古老的系統，底層的傳輸系統里可能沒有多少可控制的。 ”

像Western Beaver這起案件中，就應該有紅色警報發出。因為突然在圣誕休假期增加了42個遠在加利福尼亞州和波多黎各的領工資的人，而且向他們支付的金額遠遠超過了其它大多數人。根據法庭檔案，ESB 4天之內收到了74個轉賬申請，這也是應該亮起紅色警報的。

在這起訴訟中，Western Beaver指控它的銀行（ESB）沒有對未許可的請求發出警報。ESB銀行發言人還沒有就此發表評論。

銀行很難發現偽造的ACH交易量的原因之一，是因為通過網絡轉移的資金量相當巨大。2002年ACH網絡處理了接近90億起支付，總金額超過24萬億美元。“在我所工作過的這些銀行里，我們在一兩天內流過的資金量就相當于自己的凈資產， ”West說。

Mary Gilmeister是一家為金融機構提供與ACH相關信息的非盈利性機構WACHA的主席，據她所說，雖然ACH欺詐有利可圖，但是并未泛濫成災。”“這一現象非常重要，但它現在并沒有對大量金融機構造成影響， ”她說。“金融機構現在會更密切地關注它，”保持相互溝通并在有欺詐行為發生時發出警告。

對于那些遭遇ACH騙局帳戶被洗劫一空了的用戶，聯邦銀行條例規定只要及時報告，就只需承擔50美元的責任。但是，對于企業和其他團體來說，就不是這么簡單了，到底受害人是不是要自掏腰包要視銀行的具體情況而定。

這一切可能嚴重降低公眾對網上銀行的信任，調查人員說： “我們現在所討論論的小企業是美國的生命線，他們因為使用了網上銀行而面臨著損失五六位數資金的危險。 ”

【51CTO.COM 獨家譯稿，轉載請注明出處及作者！】