[查士朝] 木馬屠一銀？盜領案調查的當務之急|數位時代 BusinessNext

兩三年前，我聽說 Apple Pay 是採用 Tokenization 技術，於是去 EMV 調了一下相關的標準；基本上一旦交易，就是進入傳統信用卡的封閉網路，以台灣管制之嚴格，要做第三方支付的廠商，都是在外面作為它們的大特店（編按：特約商店），而不是本身成為這這支付網路的一部分。雖然想要看看能不能在這技術上發展一些應用，但認為應該無法進入這樣的體制內，因此放棄。

為什麼要講這個？金融網路本身應該要是封閉的，甚至應該是某種程度上的實體隔離。即便你要遠端控制，也不應該是行裡隨便一台電腦就可以連上自己的 ATM 機器。

延伸閱讀：第一銀行ATM被盜領七千萬，疑駭客攻擊感染惡意程式

關於一銀盜領案，其實我並沒有看到現場。一般如果很武斷地探討原因，你要先懷疑是不是他幹的。但是就推論來說，一般大眾最擔心的是自己戶頭的錢有沒有少，所以很多人會在想說晶片卡有沒有可能被複製。

一銀盜領案，疑似被木馬屠城。圖片來源：Pixabay CC0 授權。

以現在銀行合規的晶片卡來說，一般都會採用滿足安全規範 (如 FIPS 140-2) 在一定等級以上的晶片，要複製的難度應該是很高。之前日本超商發生盜領，雖然我不是很確定日本超商的 ATM 規格，但是如果是支援磁條卡的話，偽造卡片所造成的盜領風險就會比較高。不過，目前在臺灣，跨行 ATM 操作已經不能使用磁條卡了，但筆者沒有這麼確定是否還有銀行支援在自行操作磁條卡。但這問題不難解決，相關單位調查一下還有沒有用磁條卡的，全面換發晶片卡即可。

目前看報紙，一銀盜領案幾乎如魔術手法，歹徒走到提款機前，提款機就自動吐鈔。這幾乎可以判定，一銀這幾台 ATM ，不管是軟體、硬體或韌體已經被竄改了。雖然筆者看過很多研究報告，我以白話一點的方法來說，竄改的技術手段，大概不脫幾個可能：
1. 用實體的方式，將 USB 隨身碟插入 ATM 或是將某些夾帶惡意程式的硬體接到 ATM。
2. 透過網路遠端利用弱點攻擊
3. 利用 1 的方法建立後門，然後用網路遠端操控

以這次的盜領情境來說，歹徒到了一個地點 ATM 就開始吐錢，要事前確定「某個人」在「某個時間點」到「某個地方」用 ATM 還不會正好有其他人用，這是不太可能的事。而且觀察目前的影像或報導，看起來嫌犯在當場除了直接取款，也沒碰了鍵盤，或對實體 ATM 做了什麼事。當然，有人可能會猜測，是不是有使用了無線網路或是接了藍牙之類的裝置。但以目前規範，ATM 應該是禁止接任何無線裝置的，而且如果有這些裝置，現在應該也已經抓到了。因此在此筆者先排除這樣的可能性。

圖說明

照片來源：Tax Credits via flickr, cc license

那麼接下來就是實體接觸到那台機器做竄改，或是透過網路連接過去利用相關弱點。要釐清竄改軌跡是很必要的，一銀應該要找具有能力的數位鑑識單位，去分析一下到底是甚麼路徑與原因。不是要做到像是要上法庭一樣，但是去分析一下到底是哪隻元件有被改過這應該是第一件要做的事。基本上，這種網路觸發的機制，就算你要遠端抹除紀錄，應該也不容易做徹底，相信可以找得出來。

不管有沒有實體攻擊，這次的盜領案有相當程度的機率是經過網路攻擊。通常銀行 ATM 所使用的網路，應該是要拉專線的。而專線應該是先連線到自己銀行的資訊中心，然後再接到財金資訊股份有限公司（編按：臺灣金融機構處理跨行提款的交換機構）的網路上。如果可以被外部人員連線到 ATM 去操作，就可高度推估銀行內部網路的電腦已經被入侵，或是銀行內部另有對外部開啟其他連線。至於到底是怎麼連上去的，這點一銀可能有違反某些資訊安全規定的嫌疑，因此內部會傾向壓下來，因此一定要有第三方客觀單位去調查，才有機會得到合理的答案。

目前一銀的說法是沒有監守自盜；但即便沒這樣的可能性，根據上述推斷內部網路電腦已經被入侵的可能性，很有可能是一銀自己的內部人員受到 APT 攻擊，緊接著這個攻擊，造成電腦主機被入侵的機會不小。之前韓國銀行被 APT 攻擊癱瘓的案例，對方是一層一層的切進去內部網路，最近東歐和俄羅斯也剛發生了幾起手法相似的事件。

正常說來，一家銀行的資訊系統設計，對於核心的系統是不能夠被直接連線的，這是很基礎要調查的重點，到底歹徒是怎麼入侵到電腦主機、再一路攻到 ATM 去的？

一銀宣稱這次的盜領事件和無卡提款功能沒有關連，這個話可能講太快；即便這次不是無卡提款功能異常，整個盜領手法其實還是與無卡提款的機制相似。無卡提款的機制設計，是使用者用手機取得一個序號後，在 ATM 輸入取得提款授權。這機制設計的重點在：如何讓 ATM 知道目前按這個序號的人是誰？這台主機現在在哪裡。所以，其中一個可能的漏洞，也可能下半年即將要開始推動的無卡取款設計，機器施工到一半還沒被移回機房，所以恰巧開了一個洞。

現在當務之急應該是：
1. 調查發生問題的原因
2. 調查網路攻擊的路徑

其次才是討論如何讓問題不再發生。現在 Fintech 的趨勢興起，消費者越來越要求金融機構提供更加便利的金融服務，銀行有些時候會開一些方便的入口，這設計機制與實作過程中，就會造成很大的安全問題。

總結來說，這次事件還好範圍還在單一銀行，而且金額對銀行來說不算太大，也不是民眾的錢被盜領，在內部作業風險的範圍內就可以被處理掉。但這中間應該有很明顯的內部作業疏失，建議相關單位一定要細查原因，好好處置。

代表圖來自：電影《特洛伊：木馬屠城》劇照

《數位時代》長期徵稿，針對時事科技議題，需要您的獨特觀點，歡迎各類專業人士來稿一起交流。投稿請寄edit@bnext.com.tw，文長800至1000字，兩天內會回覆是否採用，文章會經編輯潤飾，如需改標會與您討論。

@@ACTIVITYID:638@@

以用戶需求為基礎，國泰世華銀行致力提供既簡便又安全的數位金融體驗

數位金融已融入使用者每日生活。無論是檢視投資理財、轉帳付款，朋友分帳或線上消費…etc，金融App皆扮演重要角色。然而，便利之餘安全亦不容忽視，國泰世華銀行從登入、交易、個資、系統四大面向著力，為客戶打造兼具流暢體驗與嚴密防護的數位金融環境。

為防止不肖人士冒用並登入數位服務，當用戶完成雙重驗證(登入兩步驟驗證)設定後，當非常用的裝置嘗試以登入國泰世華CUBE App時，系統會啟動第二道驗證手續，發送一次性密碼(OTP)進行身分確認，確認是本人操作才可登入。而CUBE App亦導入FIDO國際級驗證規格的生物辨識，支援指紋與人臉辨識登入，省去記憶高強度的長串密碼，即可享有便捷且安全的登入體驗。而現在FIDO生物辨識驗證不僅用於登入，也擴大了應用場景，只要於CUBE App內的交易驗證管理中完成設定，FIDO生物辨識驗證即可用於轉帳交易，體驗流暢的安全交易過程。

面對日益翻新的釣魚詐騙，國泰世華銀行深知用戶辨認簡訊的難處，CUBE App內建的「簡訊收件匣」功能，猶如客戶堅實的守護屏障，當收到疑似詐騙簡訊時，用戶可登入CUBE App查詢其真偽，辨別訊息是否來自國泰世華銀行。此項功能不僅能為客戶把關，更讓用戶多一分安心感。

不僅重視安全，更致力優化使用體驗

國泰世華銀行除竭力優化提供安全的金融服務外，持續的從客戶視角出發，預先幫客戶想好可能會需要哪些功能，精進服務功能與細節。舉例來說，只帶著手機出門健身，回家時突然想順道買點東西，但身上沒有現金，此時便可使用預先設定好的“手機提款”功能至國泰世華ATM領取現金使用，超級方便。又或是在轉帳時發現該筆交易金額已超過轉帳額度限制，需要調整非約定轉帳限額，但又難排出時間前往分行辦理之際，便可透過國泰世華銀行365天皆可使用的“視訊服務”來完成。客戶即使在忙碌的生活與工作中，亦能輕鬆使用金融服務。

除因應客戶需求優化金融服務外，國泰世華銀行更致力於提供個人化服務體驗。例如，客戶僅需綁定國泰世華銀行LINE官方帳號，便可即時接收資金入帳/轉出、股票交割款、刷卡消費、理財扣款、外幣匯率到價…等通知。總而言之，在數位金融日益普及的今日，消費者所需求的已不僅是便捷的服務，安全與體驗二者皆不可或缺，此與國泰世華銀行竭盡所能優化數位金融服務之理念不謀而合：透過創新技術與人性化設計，打造兼顧安全與便捷的數位金融生態圈，期能成為每一位使用者身邊的最佳金融夥伴。

本文係由國泰世華銀行邀約

[查士朝] 木馬屠一銀？盜領案調查的當務之急