這是國內爆發首宗 ATM 遭駭事件。
其實日本 2個月前也曾發生被國際幫派大規模盜領事件,短短 2個半小時內被上百名車手用偽造信用卡,盜領 14.4億日圓(約 4.4億台幣),盜領案發生在 5月15日清晨周日,讓竊賊有足夠時間,在當局能有所反應之前脫身離境。
當時日本有 17個縣市,超過 1400台 ATM 遭到盜領,車手使用南非銀行發行的信用卡偽卡,共約 1600張。但與國內不同的是,日本是上百名車手以偽造信用卡前往 ATM 提領,而國內則是被植入惡意程式,歹徒完全無操作 ATM 的情形下,直接讓 ATM 吐鈔,涉案的 3人其中提款的 2人為俄羅斯人、1人為車手。由於羅馬尼亞曾破獲類似犯罪集團,懷疑可能是國際犯罪集團鎖定台灣犯案,警方已協請內政部警政署刑事警察局國際刑警科協助偵辦。
俄羅斯資安機構卡巴斯基實驗室(Kaspersky Labs)今年 2月曾警告,不法集團利用名為 Metel 或 Corkow 的惡意程式攻擊銀行,以寄釣魚電郵給銀行員工,將惡意程式植入銀行資訊系統。
歹徒先掌握銀行鈔票處理系統,再用記帳卡在ATM提款。而惡意程式會讓系統出現異常,歹徒確實領到現金,記帳卡的支出紀錄仍維持原樣。用這樣的手法橫行30間銀行,因此俄羅斯在今年一月間,一個晚上就損失數百萬盧布,換算台幣至少一百萬以上。
雖然一銀否認有內鬼,但有銀行業者表示,ATM 在銀行內屬獨立系統,機型只是硬體,內部軟體多半屬銀行自行開發,除非經由銀行遙控主機進入,不然就得破壞機箱,但此次一銀 ATM 遭盜領,「沒碰 ATM 就吐鈔」,一銀說法是「嫌犯並未入侵銀行系統,是針對個別 ATM 植入惡意程式」,然而,由於 ATM 的輸入設備都在機箱內,若是沒有打開機箱,要植入惡意程式的機率很低。
13日調查局資通安全處公布駭客所使用的工具,包括「cnginfo.exe」、「cngdisp.exe」、「cleanup.bat」及「sdelete.exe」。其中 cnginfo.exe主要用來取得ATM相關資料,包括系統資訊、卡夾資訊,並測試開啟吐鈔開關夾,cleanup.bat為batch檔,用來刪除上 述控制程式,而sdelete.exe則是刪除程式,刪除相關資料,但目前發現的工具程式並沒有連線功能,駭客如何植入控制程式到ATM還有待調查,需向一銀取得更多資料才能進一步瞭解植入的方式。
檢警比對監視器畫面,發現10日清晨5時10分,安德烈斯、貝瑞夫左斯基、柏克曼3嫌在一銀西門分行盜領,3人還在東豐街被拍到合體畫面;同時間台中也有其他嫌犯提領現金;10分鐘後,一銀吉林分行又有穿著軍綠色上衣的男子獨自領錢,研判盜領案至少有5名嫌犯。
更新:
在歷經一周的追緝後,終於抓到仍在臺灣的三名外籍共犯,警政署長陳國恩更大肆宣布破案,彰顯臺灣不是這些國際犯罪集團可以任意作亂的國家。只不過,被捉到的嫌犯之一,拉脫維亞藉安德魯被移送時幽幽地說一句:「你們只是擔心那些被搶的錢。」更讓人覺得這件事有蹊翹。
長期觀察俄羅斯黑幫利用駭客進行各種網路攻擊的資安專家表示,其實去年底在俄羅斯的地下論壇中,就有發現,有駭客團體對外宣稱將在今年夏天,針對Wincer廠牌的ATM,幹一票大案子。
這些俄羅斯黑幫份子其實並不相信這些駭客,所以,針對這類的ATM攻擊事件中,至少會有三組以上的不同成員,彼此分工合作但卻又互不相識。就功能分 工的設計上,至少,會有一組駭客設計破解ATM的惡意程式;也有一組駭客專門負責攻擊、放後門並執行後門程式,執行ATM吐鈔;最後也會安排一組專門提款 的車手負責從ATM領錢。
但從一銀的ATM盜領事件中則可以發現,俄羅斯黑幫集團連洗錢都會安排第四組人選負責,由此,更可以發現整個黑色產業鏈,不僅分工精細而且都是朝向專業化的分工方式。
KPMG安侯建業提醒,此重大資安事件發生後,企業應留意類似的惡意程式是否出現變種,並成為潛在威脅。
新聞:
一銀ATM盜領案 兩名俄羅斯籍嫌犯已潛逃香港
國內爆ATM遭駭 日本5月1400台ATM被盜領!
一銀遭駭前 俄羅斯30間銀行也遭盜領鉅款損失上百萬
揭密 ATM 攻擊: 從 ATM 提款機搶錢的途徑有哪些?
【有片】就是這樣犯案!病毒免卡盜ATM
一銀ATM盜領案 資訊圖表三分鐘看懂
資安周報第32期:駭客從一銀倫敦分行作為入侵內網ATM跳板的異常場景啟示
防網路銀行帳戶被盜用 有撇步 真晨報
一銀盜領案 圈內人告白資安漏洞 商業週刊
盜領一銀 安德魯求刑12年 倫敦分行被駭數十萬次 竟渾然不知 台灣蘋果日報
專家傳真-從第一銀行遭駭 談金融業如何強化資安 中時電子報網
一銀盜領案 圈內人告白資安漏洞 商業週刊
盜領一銀 安德魯求刑12年 倫敦分行被駭數十萬次 竟渾然不知 台灣蘋果日報
專家傳真-從第一銀行遭駭 談金融業如何強化資安 中時電子報網
沒有留言:
張貼留言