[查士朝] 木馬屠一銀？盜領案調查的當務之急|數位時代 BusinessNext

兩三年前，我聽說 Apple Pay 是採用 Tokenization 技術，於是去 EMV 調了一下相關的標準；基本上一旦交易，就是進入傳統信用卡的封閉網路，以台灣管制之嚴格，要做第三方支付的廠商，都是在外面作為它們的大特店（編按：特約商店），而不是本身成為這這支付網路的一部分。雖然想要看看能不能在這技術上發展一些應用，但認為應該無法進入這樣的體制內，因此放棄。

為什麼要講這個？金融網路本身應該要是封閉的，甚至應該是某種程度上的實體隔離。即便你要遠端控制，也不應該是行裡隨便一台電腦就可以連上自己的 ATM 機器。

延伸閱讀：第一銀行ATM被盜領七千萬，疑駭客攻擊感染惡意程式

關於一銀盜領案，其實我並沒有看到現場。一般如果很武斷地探討原因，你要先懷疑是不是他幹的。但是就推論來說，一般大眾最擔心的是自己戶頭的錢有沒有少，所以很多人會在想說晶片卡有沒有可能被複製。

一銀盜領案，疑似被木馬屠城。圖片來源：Pixabay CC0 授權。

以現在銀行合規的晶片卡來說，一般都會採用滿足安全規範 (如 FIPS 140-2) 在一定等級以上的晶片，要複製的難度應該是很高。之前日本超商發生盜領，雖然我不是很確定日本超商的 ATM 規格，但是如果是支援磁條卡的話，偽造卡片所造成的盜領風險就會比較高。不過，目前在臺灣，跨行 ATM 操作已經不能使用磁條卡了，但筆者沒有這麼確定是否還有銀行支援在自行操作磁條卡。但這問題不難解決，相關單位調查一下還有沒有用磁條卡的，全面換發晶片卡即可。

目前看報紙，一銀盜領案幾乎如魔術手法，歹徒走到提款機前，提款機就自動吐鈔。這幾乎可以判定，一銀這幾台 ATM ，不管是軟體、硬體或韌體已經被竄改了。雖然筆者看過很多研究報告，我以白話一點的方法來說，竄改的技術手段，大概不脫幾個可能：
1. 用實體的方式，將 USB 隨身碟插入 ATM 或是將某些夾帶惡意程式的硬體接到 ATM。
2. 透過網路遠端利用弱點攻擊
3. 利用 1 的方法建立後門，然後用網路遠端操控

以這次的盜領情境來說，歹徒到了一個地點 ATM 就開始吐錢，要事前確定「某個人」在「某個時間點」到「某個地方」用 ATM 還不會正好有其他人用，這是不太可能的事。而且觀察目前的影像或報導，看起來嫌犯在當場除了直接取款，也沒碰了鍵盤，或對實體 ATM 做了什麼事。當然，有人可能會猜測，是不是有使用了無線網路或是接了藍牙之類的裝置。但以目前規範，ATM 應該是禁止接任何無線裝置的，而且如果有這些裝置，現在應該也已經抓到了。因此在此筆者先排除這樣的可能性。

圖說明

照片來源：Tax Credits via flickr, cc license

那麼接下來就是實體接觸到那台機器做竄改，或是透過網路連接過去利用相關弱點。要釐清竄改軌跡是很必要的，一銀應該要找具有能力的數位鑑識單位，去分析一下到底是甚麼路徑與原因。不是要做到像是要上法庭一樣，但是去分析一下到底是哪隻元件有被改過這應該是第一件要做的事。基本上，這種網路觸發的機制，就算你要遠端抹除紀錄，應該也不容易做徹底，相信可以找得出來。

不管有沒有實體攻擊，這次的盜領案有相當程度的機率是經過網路攻擊。通常銀行 ATM 所使用的網路，應該是要拉專線的。而專線應該是先連線到自己銀行的資訊中心，然後再接到財金資訊股份有限公司（編按：臺灣金融機構處理跨行提款的交換機構）的網路上。如果可以被外部人員連線到 ATM 去操作，就可高度推估銀行內部網路的電腦已經被入侵，或是銀行內部另有對外部開啟其他連線。至於到底是怎麼連上去的，這點一銀可能有違反某些資訊安全規定的嫌疑，因此內部會傾向壓下來，因此一定要有第三方客觀單位去調查，才有機會得到合理的答案。

目前一銀的說法是沒有監守自盜；但即便沒這樣的可能性，根據上述推斷內部網路電腦已經被入侵的可能性，很有可能是一銀自己的內部人員受到 APT 攻擊，緊接著這個攻擊，造成電腦主機被入侵的機會不小。之前韓國銀行被 APT 攻擊癱瘓的案例，對方是一層一層的切進去內部網路，最近東歐和俄羅斯也剛發生了幾起手法相似的事件。

正常說來，一家銀行的資訊系統設計，對於核心的系統是不能夠被直接連線的，這是很基礎要調查的重點，到底歹徒是怎麼入侵到電腦主機、再一路攻到 ATM 去的？

一銀宣稱這次的盜領事件和無卡提款功能沒有關連，這個話可能講太快；即便這次不是無卡提款功能異常，整個盜領手法其實還是與無卡提款的機制相似。無卡提款的機制設計，是使用者用手機取得一個序號後，在 ATM 輸入取得提款授權。這機制設計的重點在：如何讓 ATM 知道目前按這個序號的人是誰？這台主機現在在哪裡。所以，其中一個可能的漏洞，也可能下半年即將要開始推動的無卡取款設計，機器施工到一半還沒被移回機房，所以恰巧開了一個洞。

現在當務之急應該是：
1. 調查發生問題的原因
2. 調查網路攻擊的路徑

其次才是討論如何讓問題不再發生。現在 Fintech 的趨勢興起，消費者越來越要求金融機構提供更加便利的金融服務，銀行有些時候會開一些方便的入口，這設計機制與實作過程中，就會造成很大的安全問題。

總結來說，這次事件還好範圍還在單一銀行，而且金額對銀行來說不算太大，也不是民眾的錢被盜領，在內部作業風險的範圍內就可以被處理掉。但這中間應該有很明顯的內部作業疏失，建議相關單位一定要細查原因，好好處置。

代表圖來自：電影《特洛伊：木馬屠城》劇照

《數位時代》長期徵稿，針對時事科技議題，需要您的獨特觀點，歡迎各類專業人士來稿一起交流。投稿請寄edit@bnext.com.tw，文長800至1000字，兩天內會回覆是否採用，文章會經編輯潤飾，如需改標會與您討論。

@@ACTIVITYID:638@@

簡訊OTP驗證機制逐漸不敷使用，永豐銀行推兼顧交易安全與使用便捷的最佳解方

「起心動念很簡單，就是為了解決客戶面臨的真實挑戰。」永豐商業銀行副總經理暨數位金融處處長嚴國瑞指出，FIDO 是全球通用的安全標準，而晶片金融卡既符合法規、客戶持有比例也高，如果將兩者合而為一，即可在不犧牲體驗的前提下提升安全強度。「客戶只要在 App 設定 FIDO 密碼，即可透過卡片 NFC 感應完成驗證。」確認產品概念後，接下來的關鍵是確認應用情境與載體。

永豐銀行會選擇DAWHO多幣Debit卡作為首波導入載體的原因也很明確：卡片客群包含頻繁往返海外的商務人士、遊學生、留學生，以及常在境外飛行、無法穩定接收台灣簡訊的空服員族群。「至於會聚焦在非約定轉帳這個應用場景的原因有二：首先是轉帳交易佔永豐銀行網銀交易的8成以上，其中，非約定轉帳又佔轉帳交易的7成以上；其次，非約定轉帳的頻率高、風險高，同時也是客戶最容易因為簡訊OTP驗證機制受阻的環節，是最適合導入高安全驗證技術的場域。」嚴國瑞副總經理如是說道。

從確認概念到產品落地，永豐銀行動員跨單位合作，並與 FIDO 聯盟及製卡公司共同開發，歷時 8 個多月完成監理門診、技術驗證、專利申請、國際認證與卡片製作等過程，於2025年 12 月正式推出。現在，所有新申辦 DAWHO 多幣 Debit 卡的客戶都可以體驗到FIDO驗證服務，後續也將逐步開放既有存戶換發。

嚴國瑞副總經理強調：「歡迎所有不易接收簡訊、有高頻非約定轉帳需求、對安全敏感度更高的客戶，以及無法使用生物辨識或接收簡訊的族群申請使用，自由選擇要以簡訊OTP或是FIDO機制進行交易認證，更好實踐『安全不設限，便利零距離』願景。」

積極滿足客戶體驗，永豐銀行以創新科技翻轉金融服務

永豐銀行秉持永豐金控持續科技創新的精神，以科技翻轉服務，滿足客戶金融服務體驗。接下來，將逐步擴大DAWHO多幣FIDO Debit卡的應用範疇，如行動銀行登入驗證、約定轉帳與跨境支付等高安全需求領域，同時，與更多元的數位金融服務整合，藉此提升整體交易安全，讓客戶在多元場景也可以享有一致且便捷的驗證體驗。

「我們的目標是讓安全成為習慣，讓驗證變得簡單。」嚴國瑞副總經理表示，永豐銀行除了以永豐DAWHO多幣FIDO Debit卡重新定義金融交易的安全與便利，也會持續從「多因子驗證」、「AI風控」、「裝置生物辨識(包含臉部、指紋等)」等面向強化交易安全，例如導入行動裝置綁定機制、以AI風險模型即時偵測異常交易，並結合生物辨識與FIDO機制打造全方位安全防護網，讓使用者在享受更及時、直覺的金融服務時，亦能確保安全無虞。