[历史逆时针]回顾2016年孟加拉央行10亿美元被劫案，为何赃款至今难以追回？

2016年，发生了一起黑客打劫孟加拉国央行的大案，盗贼几近得手，却因一个单词功亏一篑，与10亿美元失之交臂，只拿走1.01亿美元。

5年后，这起大案余波未平，而新的案情陆续浮出水面，令人惊愕。

案发

2016年2月5日，星期五，孟加拉国的法定休息日，首都达卡，孟加拉银行（央行）保安严密的总部大楼10层，一台打印机出了故障。

| 孟加拉银行总部大楼位于首都达卡的金融区

它负责打印的是央行账户款项进出的记录。这种寻常的小故障以前也曾发生过，当天的值班经理祖拜尔·本·胡达，不以为意。

其实，这台打印机的故障是个征兆，显示银行史上最大的一桩劫案，正在悄无声息发生。

此时，侵入孟加拉央行系统的黑客，向SWIFT（环球同业银行金融电讯协会）发出35条指令，要求从纽约联邦储备银行提取10亿美元。

前4条指令，是把8100万美元转账到菲律宾RCBC银行，黑客得手。

第5条指令，是把2000万美元转账到斯里兰卡一个慈善组织——莎丽卡基金会。慈善组织的主人，莎丽卡·佩雷拉后来表示，她以为那是一笔清白合法的捐款。

但是，因为指令中基金会一词拼错了，Foundation 拼写成 Fundation，引起负责处理转账程序的德意志银行职员的怀疑，截停那笔款项，并向孟加拉央行查证。

孟加拉央行高层大吃一惊，对这笔资金的异常流动困惑不解，找到安全专家阿斯塔纳，请他协助调查。

当时央行高层认为还有可能把这笔钱追回来，因此对失窃案保密，不但公众毫不知情，甚至孟加拉当局也蒙在鼓里。

阿斯塔纳很快发现问题所在：银行系统的核心——SWIFT，全球各地的银行之间通过这个系统进行交易清算，被认为是世界上最安全的电子支付系统。孟加拉银行连接SWIFT系统的计算机，竟然没有安装防火墙。

他发现，在SWIFT看来，黑客拥有操作权限，转款指令正确，就是来自银行员工，没有疑问。

那台打印机的故障也很蹊跷，被人用远程木马程序操纵，无法作业，以掩盖行窃证据。它被修正后重启，结果吐出一份更加令人震惊的通知！

| 纽约美联储

通知来自纽约美联储，孟加拉央行的美元储备存在对方的账户上。

通知说，美联储已经收到来自孟加拉央行（客户）的取款指令，提取10亿美元，几乎就是账户里的全部款额。

| 孟加拉妇女在烈日下劳作

孟加拉国是全球最贫困国之一，10亿美元无异于天文数字。

不幸中的万幸，经过查询，美联储证实，大部分涉案钱款没有流出，因为指令被拒。

黑客发出的35条指令，5条被确认，成功转走1.01亿美元，但另30条涉及8.5亿美元的转款指令，被纽约联储银行拒绝，因为一个敏感词。

盗贼选择在菲律宾RCBC银行位于马尼拉的朱庇特街支行开户，当时不会想到这是个致命的错误。

朱庇特是一个敏感词，因为有一艘伊朗货轮也叫这个名字。

朱庇特这个词触发了警报，联储局系统叫停执行，对交易进行审核评估，30条指令被拒，5条获得执行，1.01亿美元被盗。

央行高层发现，钱很难马上追回。菲律宾法律规定，只有通过法庭下达判决，才能开始追款程序。

这就意味着，盖子再难捂下去。

2月下旬，孟加拉央行遭黑客打劫的消息震惊世界。

3月15日，央行行长阿蒂·拉赫曼引咎辞职，两名副行长遭解职。

阴谋

孟加拉央行遭黑客打劫案背后，是一个由黑客和中间人组成的团队，成员散布在亚洲各地。

这个团队叫拉撒路。拉撒路是一个死而复生的传说人物。

专家认为，单就生存能力而言，这个面目不清的团队跟拉撒路不相上下。

调查人员后来发现，早在一年前，拉撒路团队的病毒就侵入孟加拉央行，一直潜伏在电脑系统里。

2015年1月，孟加拉央行几名员工收到一份貌似人畜无害的求职邮件，发件人自称拉塞尔·阿拉姆。他的邮件措辞彬彬有礼，还有一条下载求职信和个人履历的附件链接。

收到这份电邮的员工当中，至少一人毫无防备地点击那个链接，下载了所谓的简历和求职信，把藏在文件里的病毒带入央行电脑系统。

这个病毒很快就感染了一台又一台电脑，轻而易举进入了数字化金库。

然后，它们停下脚步，潜伏下来。

病毒成功潜入央行系统后，拉撒路用了一年时间安排撤退计划和路线。

| 马尼拉朱庇特街上的RCBC支行

朱庇特街是马尼拉城里一条繁忙的商业街。菲律宾最大的银行之一RCBC（黎刹），在这条街上有一个支行。

2015年5月，拉撒路病毒侵入孟加拉央行系统几个月之后，有人在这家RCBC开了四个账户，开户人是黑客的同犯。

事后回想，其实是有疑点的：用来开户的驾照是假的，开户人分别就职于不同的公司，但职务和工资完全一样。

不过，当时没有人注意到这些。

几个月过去了，这几个账户里除了开户时存入的500美元，就再没有钱款进出。

到了2016年2月，拉撒路集团认为一切准备就绪。

除了一个小小的环节：孟加拉央行总部10楼的一台打印机，负责打印央行所有账户的所有钱款流动记录，留作纸质备份。

白纸黑字，看到的人立刻就会发现黑客在作案。

所以必须先侵入控制这台打印机的系统，让它出故障。

2月4日，周四，孟加拉时间晚上20:36时，行动开始。

此时，纽约时间是周四上午，正常工作时间。

孟加拉银行周五、周六休息，接下来就是纽约的周末。

等双方都发现疑窦时，已经过去3天了。

关键在于，周一，2016年2月8日，是农历新年，亚洲各地的银行都关门。黑客们又多了2天先机。

这样，抢劫得手后，黑客们有5天的逃遁时间。

如此大胆缜密、天衣无缝的计划，显然是经过精心设计的。

可是，就像好莱坞大片里的银行打劫案一样，百密一疏，最后眼睁睁看着唾手可得的赃款与自己失之交臂。

这可能是个令拉撒路集团吐血的疏忽，只有一个，非常小，但最后一切都毁在这一小点上：朱庇特，它触发了敏感词警报。

追查

当孟加拉央行开始追款行动时，拉撒路黑客们已经先行了几步。

2月5日，周五，马尼拉朱庇特街RCBC支行的四个账户突然活跃异常，现金进帐，流出，转入一个外汇公司，换成菲律宾货币，重新存入这家银行，有一部分现款被提取。

在专家看来，这些操作完全不出意料。

被成功盗取的8100万美元赃款中，5000万经由RCBC流入了Solaire、Midas两家赌档，另外3100万下落不明。

通过赌档是为了掩盖赃款流动痕迹，但有没有风险？

没有。

盗贼预订了私人包间，里面的玩家都是同伙，他们在里面玩了几个星期。

孟加拉央行在这段时间追了上来，赶到马尼拉，识别出赃款流动轨迹。

但是，线索到赌档之后就断了。

当时，菲律宾的法规还不适用于赌档。从赌档的角度看，没有任何违法之处。

| Kim Wong

孟加拉央行设法从承包Midas私人包间的一个名叫 Kim Wong的人手中追回1600万美元。他先被起诉，后来控方撤诉。

另外6500万美元似乎彻底消失了。

调查的下一站，离真相更近了一步。

| 七宝山饭店

寻着蛛丝马迹，调查团队追踪到沈阳一家酒店——七宝山饭店，门口有一对石狮子。

这家酒店有平壤特色：床单、菜式、服务员的服装和餐厅的歌舞表演，等等。

2014年，黑客就在这家酒店，以此为基地，向索尼影业发起网上攻击，而这已经是互联网社区众所周知的事。

索尼高管的薪酬、保密邮件内容和尚未发行的新片的详情被泄露，在网上曝光，而公司70%的电脑被黑客病毒入侵陷入瘫痪，员工的门禁卡失效，打印机无法启动。

索尼影业公司总部所在地的一个咖啡店长达6个星期无法接受信用卡付款。

最终，主流院线表示不准备放映索尼这部影片，它只能在一些独立影院上映。

起诉

拉撒路团队至今依旧很神秘。

赛门铁克的研究人员表示，他们发现了一些证据，波兰、菲律宾、韩国的20多家银行，越南先锋银行、孟加拉央行、世界银行、欧洲央行、美国银行等遭受的一系列攻击，都来自拉撒路团队。

厄瓜多尔银行被黑客劫走1200万美元。

美国FBI掌握了一名拉撒路团队成员的身份背景。

朴镇赫，化名朴光振，电脑编程员，曾受雇平壤进出口公司大连分公司。

FBI说，朴镇赫白天是程序员，晚上是电脑黑客。

2017年5月，WannaCry 病毒像野火一样全球蔓延，令150国的30万部计算机受到瘫痪。无数受害者的电脑、数据、文档被锁，必须支付价值数百至数百万美元的比特币之后，才能取回。

虚拟货币被打劫的金额估计超过20亿美元。

2018年6月，美国起诉朴镇赫，指控他参与了攻击索尼案、孟加拉央行劫案、WannaCry 病毒案。

| 金日、朴镇赫、全昌赫

2021年2月，美国起诉另外两名男子，称他们也是拉撒路集团成员。

今天，孟加拉央行还在努力追款，大约6500万美元，对数十个机构和个人提起诉讼，包括菲律宾RCBC银行。

RCBC坚称自己没有违反任何法规。

| 菲律宾RCBC银行朱庇特街支行经理Maia Santos Deguito（左）

这是当今全球战场上的一条新战线：模糊不清的地带、活动、团队、黑客，藏在暗处迅速拓展。