[查士朝] 木馬屠一銀?盜領案調查的當務之急

2016.07.13 by
查士朝
查士朝 查看更多文章

夠麻吉股份有限公司獨立董事。台大資訊管理博士,曾任資誠企業管理顧問股份有限公司協理,意藍科技股份有限公司資深顧問。具有 CISSP、CCFP、CSSLP、CISM 等多張國際資安認證。近年來除了從事資安研究,發表多篇國際期刊與會議論文外,也曾協助多家政府單位與企業,建立資訊安全管理制度,或發掘系統資安漏洞。

兩三年前,我聽說 Apple Pay 是採用 Tokenization 技術,於是去 EMV 調了一下相關的標準;基本上一旦交易,就是進入傳...

兩三年前,我聽說 Apple Pay 是採用 Tokenization 技術,於是去 EMV 調了一下相關的標準;基本上一旦交易,就是進入傳統信用卡的封閉網路,以台灣管制之嚴格,要做第三方支付的廠商,都是在外面作為它們的大特店(編按:特約商店),而不是本身成為這這支付網路的一部分。雖然想要看看能不能在這技術上發展一些應用,但認為應該無法進入這樣的體制內,因此放棄。

為什麼要講這個?金融網路本身應該要是封閉的,甚至應該是某種程度上的實體隔離。即便你要遠端控制,也不應該是行裡隨便一台電腦就可以連上自己的 ATM 機器。

延伸閱讀:第一銀行ATM被盜領七千萬,疑駭客攻擊感染惡意程式

關於一銀盜領案,其實我並沒有看到現場。一般如果很武斷地探討原因,你要先懷疑是不是他幹的。但是就推論來說,一般大眾最擔心的是自己戶頭的錢有沒有少,所以很多人會在想說晶片卡有沒有可能被複製。

一銀盜領案,疑似被木馬屠城。圖片來源:Pixabay CC0 授權。

一銀盜領案,疑似被木馬屠城。圖片來源:Pixabay CC0 授權。

以現在銀行合規的晶片卡來說,一般都會採用滿足安全規範 (如 FIPS 140-2) 在一定等級以上的晶片,要複製的難度應該是很高。之前日本超商發生盜領,雖然我不是很確定日本超商的 ATM 規格,但是如果是支援磁條卡的話,偽造卡片所造成的盜領風險就會比較高。不過,目前在臺灣,跨行 ATM 操作已經不能使用磁條卡了,但筆者沒有這麼確定是否還有銀行支援在自行操作磁條卡。但這問題不難解決,相關單位調查一下還有沒有用磁條卡的,全面換發晶片卡即可。

目前看報紙,一銀盜領案幾乎如魔術手法,歹徒走到提款機前,提款機就自動吐鈔。這幾乎可以判定,一銀這幾台 ATM ,不管是軟體、硬體或韌體已經被竄改了。雖然筆者看過很多研究報告,我以白話一點的方法來說,竄改的技術手段,大概不脫幾個可能:
1. 用實體的方式,將 USB 隨身碟插入 ATM 或是將某些夾帶惡意程式的硬體接到 ATM。
2. 透過網路遠端利用弱點攻擊
3. 利用 1 的方法建立後門,然後用網路遠端操控

以這次的盜領情境來說,歹徒到了一個地點 ATM 就開始吐錢,要事前確定「某個人」在「某個時間點」到「某個地方」用 ATM 還不會正好有其他人用,這是不太可能的事。而且觀察目前的影像或報導,看起來嫌犯在當場除了直接取款,也沒碰了鍵盤,或對實體 ATM 做了什麼事。當然,有人可能會猜測,是不是有使用了無線網路或是接了藍牙之類的裝置。但以目前規範,ATM 應該是禁止接任何無線裝置的,而且如果有這些裝置,現在應該也已經抓到了。因此在此筆者先排除這樣的可能性。

圖說明

照片來源:Tax Credits via flickr, cc license

那麼接下來就是實體接觸到那台機器做竄改,或是透過網路連接過去利用相關弱點。要釐清竄改軌跡是很必要的,一銀應該要找具有能力的數位鑑識單位,去分析一下到底是甚麼路徑與原因。不是要做到像是要上法庭一樣,但是去分析一下到底是哪隻元件有被改過這應該是第一件要做的事。基本上,這種網路觸發的機制,就算你要遠端抹除紀錄,應該也不容易做徹底,相信可以找得出來。

不管有沒有實體攻擊,這次的盜領案有相當程度的機率是經過網路攻擊。通常銀行 ATM 所使用的網路,應該是要拉專線的。而專線應該是先連線到自己銀行的資訊中心,然後再接到財金資訊股份有限公司(編按:臺灣金融機構處理跨行提款的交換機構)的網路上。如果可以被外部人員連線到 ATM 去操作,就可高度推估銀行內部網路的電腦已經被入侵,或是銀行內部另有對外部開啟其他連線。至於到底是怎麼連上去的,這點一銀可能有違反某些資訊安全規定的嫌疑,因此內部會傾向壓下來,因此一定要有第三方客觀單位去調查,才有機會得到合理的答案。

目前一銀的說法是沒有監守自盜;但即便沒這樣的可能性,根據上述推斷內部網路電腦已經被入侵的可能性,很有可能是一銀自己的內部人員受到 APT 攻擊,緊接著這個攻擊,造成電腦主機被入侵的機會不小。之前韓國銀行被 APT 攻擊癱瘓的案例,對方是一層一層的切進去內部網路,最近東歐和俄羅斯也剛發生了幾起手法相似的事件。

正常說來,一家銀行的資訊系統設計,對於核心的系統是不能夠被直接連線的,這是很基礎要調查的重點,到底歹徒是怎麼入侵到電腦主機、再一路攻到 ATM 去的?

一銀宣稱這次的盜領事件和無卡提款功能沒有關連,這個話可能講太快;即便這次不是無卡提款功能異常,整個盜領手法其實還是與無卡提款的機制相似。無卡提款的機制設計,是使用者用手機取得一個序號後,在 ATM 輸入取得提款授權。這機制設計的重點在:如何讓 ATM 知道目前按這個序號的人是誰?這台主機現在在哪裡。所以,其中一個可能的漏洞,也可能下半年即將要開始推動的無卡取款設計,機器施工到一半還沒被移回機房,所以恰巧開了一個洞。

現在當務之急應該是:
1. 調查發生問題的原因
2. 調查網路攻擊的路徑

其次才是討論如何讓問題不再發生。現在 Fintech 的趨勢興起,消費者越來越要求金融機構提供更加便利的金融服務,銀行有些時候會開一些方便的入口,這設計機制與實作過程中,就會造成很大的安全問題。

總結來說,這次事件還好範圍還在單一銀行,而且金額對銀行來說不算太大,也不是民眾的錢被盜領,在內部作業風險的範圍內就可以被處理掉。但這中間應該有很明顯的內部作業疏失,建議相關單位一定要細查原因,好好處置。

代表圖來自:電影《特洛伊:木馬屠城》劇照

《數位時代》長期徵稿,針對時事科技議題,需要您的獨特觀點,歡迎各類專業人士來稿一起交流。投稿請寄edit@bnext.com.tw,文長800至1000字,兩天內會回覆是否採用,文章會經編輯潤飾,如需改標會與您討論。

@@ACTIVITYID:638@@

每日精選科技圈重要消息