安德魯是怎麼讓 ATM 乖乖聽話的？|數位時代 BusinessNext

安德魯是怎麼讓 ATM 乖乖聽話的？

還記得安德魯嗎？今年 7 月，他與同伴們魔術般透過手機，就能讓銀行 ATM 華麗吐鈔的手法，讓台灣民眾都驚呆了！臺灣駭客年會提醒大家，唯有理解攻擊手法，才能對資訊風險產生抵抗能力！

還記得安德魯嗎？

2016 年 7 月，臺灣發生首起透過手機就能讓銀行 ATM 吐鈔的事件，魔術般的手法，一時之間讓台灣民眾都驚呆了！事實上，從 2014 年開始，全球 ATM 的攻擊事件就如火如荼地不斷增加，駭客盜領的事件凸顯出金融資訊安全的瑕疵，資安風險沒有被準確評估！危機的存在，就如同人不可能生活在無菌室中，我們都有可能被感染疾病，如何對資訊風險產生抵抗力！在犯罪樣貌不斷改變的今天，要學習如何與風險並存。

如何滲透銀行進行攻擊？

台灣威瑞特系統科技資安長叢培侃首先分析，歹徒針對銀行的 ATM 攻擊，可主要區分為「銀行、ATM、金融卡片」三個層面，企業面對不斷演變的資安威脅環境，其中一項最大的挑戰就是「進階持續性滲透攻擊（APT, Advanced Persistent Threats）」。APT 攻擊指的是從一段時間技術和人員的情報蒐集開始，描繪出後期攻擊的樣貌，在銀行中最常見的是透過電子郵件夾帶病毒附件，使內部員工點開後，感染內部主機。駭客接著透過這些已經被感染的內部主機，掃描內部有哪些電腦，因為受感染的電腦分享路徑是開啟的（對駭客來說），最終駭客就可以在銀行內部植入因應該銀行系統架構所設計的破壞程式；這就是最常見的攻擊銀行手法。

俄羅斯一間知名的銀行，就曾經遭受金融攻擊組織「GCMAN」的攻擊，手法也是透過夾帶病毒的電子郵件寄給銀行雇員，郵件開啟後造成電腦中毒，不論電腦是否有連網，惡意病毒都會盡可能感染，嘗試讓提款機吐鈔。另一個惡名昭彰的攻擊組織「Carbanak」，透過電子郵件讓員工電腦中毒後，就可以開啟一個紀錄器，詳細紀錄銀行承辦人員的日常的操作，當發現人員在操作比較重要業務的時候，就能讓受感染的主機開起錄製功能。

誰說提款卡就安全？四面埋伏的提款卡攻擊

你我手中再常見不過的 ATM 金融卡，也可能成為攻擊的目標。ATM 金融卡的攻擊一般分為兩種：「Skimmer」指的是傳統磁條卡片的側錄，「Shimmer」則是指我們現在常用的晶片卡側錄。今年 9 月初，美國秘情局發現部分 ATM 被裝有探針，透過 ATM 電路板讓駭客對 ATM 進行遠端控制；密情局因此要求銀行必須全面檢查機器設備。

由於安裝探針必須把 ATM 機台拆開，叢培侃認為實際的作法有兩種可能，其一是透過威脅利誘策反，讓平時銀行內部的技術維修人員直接在例行性維護時進行。另外，過去警方也曾在犯罪集團的聊天記錄中發現，集團會選定義大利人煙稀少小鎮裡無人管理的 ATM，趁放假沒有人時把 ATM 整個拆開研究學習，假期結束後再裝回去，熟悉內部構造後再裝入探針，一旦銀行實體安全沒做好，都有可能面對這種問題。

一般 ATM 的吐鈔模組，都是透過 USB 來銜接，駭客在機器中接上自己的 USB 後，就能讓機器以為有兩個吐鈔模組，接著把正常的吐鈔模組關掉，便能利用假的 USB 去操作，手法相當精細。

叢培侃也引用 Blackhat 2016 特別針對歐洲晶片金融卡攻擊手法分析：一般金融卡交易周期有兩分鐘，有犯罪集團特別找有 NFC 功能的 ATM ，在交易中利用 NFC 將這項交易資料傳送到另一張卡片上，在交易還沒完成時整個卡片資料已經被複製。

消費場域處處可見的 POS，與 ATM 一樣危險！

目前金融犯罪中常出現的 ATM 攻擊，大多鎖定在機台吐鈔元件。駭客駭入銀行系統後，從內部網路控制 ATM 執行特定程式，遠端操控 ATM 控制吐鈔模組。駭客首先必須找到突破口，來進入銀行連線，並找到存取派送主機的方法，取得主機與 ATM 的控制權，來發送讓吐鈔模組啟動的指令。

叢培侃強調在談資訊安全時只看 ATM 是遠遠不夠的，國際連鎖飯店凱悅（Hyatt）去年就曾經發生磁卡資料外洩事件，因為商務使用的 POS 系統（Point of Sales，銷售點終端）廠商跟 ATM 系統大多相同，因此這些攻擊從 ATM 移到 POS、從 POS 移到 ATM 都是相當容易的，現在許多傳統零售業者都變成電商，對資訊安全需求也提高，POS 系統的攻擊未來在零售業也是有發生的可能，這些接觸點都必須要納入資安監控機制去考量。

惡意攻擊增加，東歐金融攻擊黑色產業

近幾年，不論是針對銀行還是 ATM 本身的惡意攻擊都有增加的趨勢，每年惡意攻擊的頻率越來越高，目標也從東歐移往亞洲地區，包含日本、越南、泰國、新加坡、香港甚至墨西哥等等。

相關事件一連串的發生， 8 月在泰國、10 月在吉爾吉斯，都接連發生類似台灣ATM被盜領事件，目前世界上的金融攻擊組織主要有四，分別為 Anunak（Carbanak）、Corkow（Metet）、Buhtrap 與 Lurk ，今年 7 月就是 Anunak 攻擊台灣的第一銀行，這些行動當然也引發一般民眾的擔心，先前就有民眾在 Line 群組中瘋傳，如果看到密碼鍵盤（PIN Pad）上有異常的貼紙，就要把它撕掉。這種可能是錯誤的訊息傳佈，讓臺灣的銀行提款機貼紙慘遭民眾撕光光。

叢培侃與臺灣駭客年會都提醒，資訊科技每天都在更新，犯罪型態不停的在改變，惡意攻擊常已不再是你我腦海中的樣貌；因此，不只金融業，我們都應該要學著將風險評估、資安情報分享一同納入決策考量，才能一起面對新型態惡意攻擊。

本文是由臺灣駭客年會（HITCON）在日前所舉辦的「金融資安研討會」演講整理，如果讀者們有興趣，不妨直接收看由臺灣駭客年會的直播，與叢培侃先生所提供的投影片。

「代理式 AI 」（Agentic AI）的創新服務正在重新塑造企業對AI的想像：成為內部實際運行的數位員工，提升關鍵工作流程的效率。代理式AI的技術應用清楚指向一個核心趨勢：2025 年是 AI 邁向「代理式 AI」的起點，讓 AI 擁有決策自主權的技術轉型關鍵，2026 年這股浪潮將持續擴大並邁向規模化部署。

面對這股 AI Agent 浪潮，企業如何加速落地成為關鍵，博弘雲端以雲端與數據整合實力，結合零售、金融等產業經驗，提出 AI 系統整合商定位，協助企業從規劃、導入到維運，降低試錯風險，成為企業佈局 AI 的關鍵夥伴。

避開 AI 轉型冤枉路，企業該如何走對第一步？

博弘雲端事業中心副總經理陳亭竹指出，AI 已經從過去被動回答問題、生成內容的智慧助手，正式進化為具備自主執行能力、可跨系統協作的數位員工，應用場景也從單一任務延伸至多代理協作（Multi-Agent）模式。

「儘管 AI 前景看好，但這條導入之路並非一帆風順。」博弘雲端技術維運中心副總經理暨技術長宋青雲綜合多份市場調查報告指出，到了 2028 年，高達 70% 的重複性工作將被 AI 取代，但同時也有約 40% 的生成式 AI 專案面臨失敗風險；關鍵原因在於，企業常常低估了導入 GenAI 的整體難度——挑戰不僅來自 AI 相關技術的快速更迭，更涉及流程變革與人員適應。

博弘雲端事業中心副總經理陳亭竹指出，AI 已經從過去被動回答問題的智慧助手，正式進化為具備自主執行能力、可跨系統協作的數位員工。面對這樣的轉變，企業唯有採取「小步快跑、持續驗證」的方式，才能在控制風險的同時加速 AI 落地。

圖／數位時代

正因如此，企業在導入 AI 時，其實需要外部專業夥伴的協助，而博弘雲端不僅擁有導入 AI 應用所需的完整技術能力，涵蓋數據、雲端、應用開發、資安防禦與維運，可以一站式滿足企業需求，更能使企業在 AI 轉型過程中少走冤枉路。

宋青雲表示，許多企業在導入 AI 時，往往因過度期待、認知落差或流程改造不全，導致專案停留在測試階段，難以真正落地。這正是博弘雲端存在的關鍵價值——協助企業釐清方向，避免踏上產業內早已被證實「不可行」的方法或技術路徑，縮短從概念驗證到正式上線的過程，讓 AI 真正成為可被信賴、可持續運作的企業戰力。

轉換率提升 50% 的關鍵：HAPPY GO 的 AI 落地實戰路徑

博弘雲端這套導入方法論，並非紙上談兵，而是已在多個實際場域中驗證成效；鼎鼎聯合行銷的 HAPPY GO 會員平台的 AI 轉型歷程，正是其最具代表性的案例之一。陳亭竹說明，HAPPY GO 過去曾面臨AI 落地應用的考驗：會員資料散落在不同部門與系統中，無法整合成完整的會員輪廓，亦難以對會員進行精準貼標與分眾行銷。

為此，博弘雲端先協助 HAPPY GO 進行會員資料的邏輯化與規格化，完成建置數據中台後，再依業務情境評估適合的 AI 模型，並且減少人工貼標的時間，逐步發展精準行銷、零售 MLOps（Machine Learning Operations，模型開發與維運管理）平台等 AI 應用。在穩固的數據基礎下，AI 應用成效也開始一一浮現：首先是 AI 市場調查應用，讓資料彙整與分析效率提升約 80%；透過 AI 個性化推薦機制，廣告點擊轉換率提升 50%。

左、右為博弘雲端事業中心副總經理陳亭竹及技術維運中心副總經理暨技術長宋青雲。宋青雲分享企業導入案例，許多企業往往因過度期待、認知落差或流程改造不全，導致專案停留在測試階段，難以真正落地。這正是博弘雲端存在的關鍵價值——協助企業釐清方向，避免踏上產業內早已被證實「不可行」的方法或技術路徑，縮短從概念驗證到正式上線的過程，讓 AI 真正成為可被信賴、可持續運作的企業戰力。

圖／數位時代

整合 Databricks 與雲端服務，打造彈性高效的數據平台

在協助鼎鼎聯合行銷與其他客戶的實務經驗中，博弘雲端發現，底層數據架構是真正影響 AI 落地速度的關鍵之一，因與 Databricks 合作協助企業打造更具彈性與擴充性的數據平台，作為 AI 長期發展的基礎。

Databricks 以分散式資料處理框架（Apache Spark）為核心，能同時整合結構化與非結構化資料，並支援分散式資料處理、機器學習與進階分析等多元工作負載，讓企業免於在多個平台間反覆搬移資料，省下大量重複開發與系統整合的時間，從而加速 AI 應用從概念驗證、使用者驗收測試（UAT），一路推進到正式上線（Production）的過程，還能確保資料治理策略的一致性，有助於降低資料外洩與合規風險；此對於金融等高度重視資安與法規遵循的產業而言，更顯關鍵。

陳亭竹認為，Databricks 是企業在擴展 AI 應用時「進可攻、退可守」的重要選項。企業可將數據收納在雲端平台，當需要啟動新型 AI 或 Agent 專案時，再切換至 Databricks 進行開發與部署，待服務趨於穩定後，再轉回雲端平台，不僅兼顧開發效率與成本控管，也讓數據平台真正成為 AI 持續放大價值的關鍵基礎。

企業強化 AI 資安防禦的三個維度

隨著 AI 與 Agent 應用逐步深入企業核心流程，資訊安全與治理的重要性也隨之同步提升。對此，宋青雲提出建立完整 AI 資安防禦體系的 3 個維度。第一是資料治理層，企業在導入 AI 應用初期，就應做好資料分級與建立資料治理政策（Policy），明確定義高風險與隱私資料的使用邊界，並規範 AI Agent「能看什麼、說什麼、做什麼」，防止 AI 因執行錯誤而造成的資安風險。

第二是權限管理層，當 AI Agent 角色升級為數位員工時，企業也須比照人員管理方式為其設定明確的職務角色與權限範圍，包括可存取的資料類型與可執行的操作行為，防止因權限過大，讓 AI 成為新的資安破口。

第三為技術應用層，除了導入多重身份驗證、DLP 防制資料外洩、定期修補應用程式漏洞等既有資安防禦措施外，還需導入專為生成式 AI 設計的防禦機制，對 AI 的輸入指令與輸出內容進行雙向管控，降低指令注入攻擊（Prompt Injection）或惡意內容傳遞的風險。

博弘雲端技術維運中心副總經理暨技術長宋青雲進一步說明「AI 應用下的資安考驗」，透過完善治理政策與角色權限，並設立專為生成式 AI 設計的防禦機制，降低 AI 安全隱私外洩的風險。

圖／數位時代

此外，博弘雲端也透過 MSSP 資安維運託管服務，從底層的 WAF、防火牆與入侵偵測，到針對 AI 模型特有弱點的持續掃描，提供 7×24 不間斷且即時的監控與防護。不僅能在系統出現漏洞時主動識別並修補漏洞，更可以即時監控活動，快速辨識潛在威脅。不僅如此，也能因應法規對 AI 可解釋性與可稽核性的要求，保留完整操作與決策紀錄，協助企業因應法規審查。

「AI Agent 已成為企業未來發展的必然方向，」陳亭竹強調，面對這樣的轉變，企業唯有採取「小步快跑、持續驗證」的方式，才能在控制風險的同時，加速 AI 落地。在這波變革浪潮中，博弘雲端不只是提供雲端服務技術的領航家，更是企業推動 AI 轉型的策略戰友。透過深厚的雲端與數據技術實力、跨產業的AI導入實務經驗，以及完善的資安維運託管服務，博弘雲端將持續協助企業把數據轉化為行動力，在 AI Agent 時代助企業實踐永續穩健的 AI 落地應用。

>>掌握AI 應用的新契機，立即聯繫博弘雲端專業顧問