:::

臺中市政府政風處

字級

:::
:::
  • 友善列印
  • 回上一頁

資安專家解碼一銀ATM盜領案-原始碼出問題

  • 最後異動時間:2017-11-14
  • 發布單位:臺中市政府政風處‧第一科
資安專家解碼一銀ATM盜領案-原始碼出問題
資安專家解碼一銀ATM盜領案-原始碼出問題

文/鄭國強 

第一銀行在7月10日晚,爆發台北市、台中市20家分行的34台ATM提款機遭到破解,被盜領金額超過7000萬元事件,2名盜領的俄羅斯籍人士已經出境,警方已聯絡國際刑警組織追緝。此案為我國第一起ATM遭破解盜領案,也是銀行業踏入金融3.0以來,第一起盜領的案件。

目前警方已加緊調查,第一銀行也暫時停止全台400多台ATM的運作,其他具有同型ATM的銀行也停機檢查,是否有被植入惡意程式或者其他資安漏洞。網路上也出現各種破解ATM的方式或謠言,一時之間,各大銀行風聲鶴唳,民眾也對銀行提款機的安全性產生懷疑。

一位資深銀行人士陳先生說,這麼多銀行都與一銀使用同一型ATM,為什麼唯獨第一銀行遭到盜領?他指出,完全不是提款機的問題,因為那型提款機用那麼久了,要出問題早就出問題了,真正的問題,應該是第一銀行在6月急著上線新的金融3.0服務,亦即「無卡領款」,藉由手機介面從ATM領錢,過程中出現漏洞。

ATM漏洞可能在手機提領

陳先生指出,歹徒利用一銀新的手機提領ATM程式漏洞「隔空取物」,有系統性的在34台ATM領取現金,能夠得逞,是因為這個技術太新,國際上也沒有幾家銀行開始用,更別說很多國內的銀行還沒有能力驗證這個技術。

據了解,和一銀一樣正要推出手機提款的中國信託、玉山銀行內部已經召開緊急會議,重新檢視提領流程,將延後手機ATM提款的上線時程。

具有金融業資安防護系統建置20年經驗的某資安專家表示,銀行通常外包給廠商建立新的手機取款程式系統,經過驗證,才上線使用,若有內賊,歹徒在原始碼就下手植入木馬了,然後在提領端,利用手機給ATM特定訊號,另一方面木馬發揮作用,阻斷了第一銀行對ATM的監控功能,未能偵測出那麼多台ATM在連續的時間被提領鉅款。

「至於手機所對應的帳號,可能就是一組虛擬的帳號。」陳先生解釋說,傳統ATM是靠金融卡去對應帳戶,有帳戶才會有錢可以領出來,但這組犯罪人士阻斷了ATM與母行帳號的對應,給一組虛擬帳號,單獨破解了ATM保安系統,讓機器付款。

傳統晶片卡穩定性較高

資安專家指出,銀行可能得重新檢視它們的原始碼。根據金管會的規定,銀行在採用新的系統前,必須經過兩道驗證程序,由負責建立系統的公司以及第三方公正的公司分別掃描原始碼,大概這部分就已經出問題。

「原因很簡單,由於技術太新,可能連驗證的人都沒有能力驗證出來。」資安專家說,第一銀行可能急著推出金融3.0新技術,在驗證端不完整,所以才會出包。全球先進金融3.0技術圖像辨識公司PixelPin公司代表Georgia Steele表示,在金融技術不斷更新的現在,新舊技術交接時,容易有機可趁。

來台參加「英國FinTech創新應用與科技生態鏈研討會」的以色列高科技生物辨識公司MultiSense的創辦人Aviram Siboni表示,若使用生物辨識,例如指紋、眼虹作為防線,那麼可能損失就沒那麼大,甚至可以防止這次的攻擊。他也說,金融科技日新月異,犯罪手法隨時更新,銀行端也要跟上腳步。

資安專家表示,傳統的晶片金融卡還是最穩定的驗證機制,因為銀行並不會擁有客戶的密碼,密碼儲存於晶片當中,也就是客戶手上,經過認證,才能連結帳戶,這次一銀爆發ATM事件,勢必引起金融圈重新檢視金融3.0的執行。

這件神奇的提款機盜領案,引起國內金融業者一陣緊張。但事情究竟是怎麼發生的?一銀行發言人葉仲惠表示,初步調查歹徒可能植入惡意程式以驅動ATM吐鈔模組吐鈔,由於是在機台直接進行吐鈔,沒有連接到系統,與後端帳務、帳戶沒有連接,因此第一時間系統沒有監控到ATM異常提領。但也因為這件事,再度凸顯銀行業要科技化,業者與政府都需要多把關才行。

轉載自 信傳媒

  • 市府分類: 宣導活動, 政令政策, 資訊管理
  • 發布日期:2017-11-14
  • 點閱次數:94