安德魯是怎麼讓 ATM 乖乖聽話的？|數位時代 BusinessNext

安德魯是怎麼讓 ATM 乖乖聽話的？

還記得安德魯嗎？今年 7 月，他與同伴們魔術般透過手機，就能讓銀行 ATM 華麗吐鈔的手法，讓台灣民眾都驚呆了！臺灣駭客年會提醒大家，唯有理解攻擊手法，才能對資訊風險產生抵抗能力！

還記得安德魯嗎？

2016 年 7 月，臺灣發生首起透過手機就能讓銀行 ATM 吐鈔的事件，魔術般的手法，一時之間讓台灣民眾都驚呆了！事實上，從 2014 年開始，全球 ATM 的攻擊事件就如火如荼地不斷增加，駭客盜領的事件凸顯出金融資訊安全的瑕疵，資安風險沒有被準確評估！危機的存在，就如同人不可能生活在無菌室中，我們都有可能被感染疾病，如何對資訊風險產生抵抗力！在犯罪樣貌不斷改變的今天，要學習如何與風險並存。

如何滲透銀行進行攻擊？

台灣威瑞特系統科技資安長叢培侃首先分析，歹徒針對銀行的 ATM 攻擊，可主要區分為「銀行、ATM、金融卡片」三個層面，企業面對不斷演變的資安威脅環境，其中一項最大的挑戰就是「進階持續性滲透攻擊（APT, Advanced Persistent Threats）」。APT 攻擊指的是從一段時間技術和人員的情報蒐集開始，描繪出後期攻擊的樣貌，在銀行中最常見的是透過電子郵件夾帶病毒附件，使內部員工點開後，感染內部主機。駭客接著透過這些已經被感染的內部主機，掃描內部有哪些電腦，因為受感染的電腦分享路徑是開啟的（對駭客來說），最終駭客就可以在銀行內部植入因應該銀行系統架構所設計的破壞程式；這就是最常見的攻擊銀行手法。

俄羅斯一間知名的銀行，就曾經遭受金融攻擊組織「GCMAN」的攻擊，手法也是透過夾帶病毒的電子郵件寄給銀行雇員，郵件開啟後造成電腦中毒，不論電腦是否有連網，惡意病毒都會盡可能感染，嘗試讓提款機吐鈔。另一個惡名昭彰的攻擊組織「Carbanak」，透過電子郵件讓員工電腦中毒後，就可以開啟一個紀錄器，詳細紀錄銀行承辦人員的日常的操作，當發現人員在操作比較重要業務的時候，就能讓受感染的主機開起錄製功能。

誰說提款卡就安全？四面埋伏的提款卡攻擊

你我手中再常見不過的 ATM 金融卡，也可能成為攻擊的目標。ATM 金融卡的攻擊一般分為兩種：「Skimmer」指的是傳統磁條卡片的側錄，「Shimmer」則是指我們現在常用的晶片卡側錄。今年 9 月初，美國秘情局發現部分 ATM 被裝有探針，透過 ATM 電路板讓駭客對 ATM 進行遠端控制；密情局因此要求銀行必須全面檢查機器設備。

由於安裝探針必須把 ATM 機台拆開，叢培侃認為實際的作法有兩種可能，其一是透過威脅利誘策反，讓平時銀行內部的技術維修人員直接在例行性維護時進行。另外，過去警方也曾在犯罪集團的聊天記錄中發現，集團會選定義大利人煙稀少小鎮裡無人管理的 ATM，趁放假沒有人時把 ATM 整個拆開研究學習，假期結束後再裝回去，熟悉內部構造後再裝入探針，一旦銀行實體安全沒做好，都有可能面對這種問題。

一般 ATM 的吐鈔模組，都是透過 USB 來銜接，駭客在機器中接上自己的 USB 後，就能讓機器以為有兩個吐鈔模組，接著把正常的吐鈔模組關掉，便能利用假的 USB 去操作，手法相當精細。

叢培侃也引用 Blackhat 2016 特別針對歐洲晶片金融卡攻擊手法分析：一般金融卡交易周期有兩分鐘，有犯罪集團特別找有 NFC 功能的 ATM ，在交易中利用 NFC 將這項交易資料傳送到另一張卡片上，在交易還沒完成時整個卡片資料已經被複製。

消費場域處處可見的 POS，與 ATM 一樣危險！

目前金融犯罪中常出現的 ATM 攻擊，大多鎖定在機台吐鈔元件。駭客駭入銀行系統後，從內部網路控制 ATM 執行特定程式，遠端操控 ATM 控制吐鈔模組。駭客首先必須找到突破口，來進入銀行連線，並找到存取派送主機的方法，取得主機與 ATM 的控制權，來發送讓吐鈔模組啟動的指令。

叢培侃強調在談資訊安全時只看 ATM 是遠遠不夠的，國際連鎖飯店凱悅（Hyatt）去年就曾經發生磁卡資料外洩事件，因為商務使用的 POS 系統（Point of Sales，銷售點終端）廠商跟 ATM 系統大多相同，因此這些攻擊從 ATM 移到 POS、從 POS 移到 ATM 都是相當容易的，現在許多傳統零售業者都變成電商，對資訊安全需求也提高，POS 系統的攻擊未來在零售業也是有發生的可能，這些接觸點都必須要納入資安監控機制去考量。

惡意攻擊增加，東歐金融攻擊黑色產業

近幾年，不論是針對銀行還是 ATM 本身的惡意攻擊都有增加的趨勢，每年惡意攻擊的頻率越來越高，目標也從東歐移往亞洲地區，包含日本、越南、泰國、新加坡、香港甚至墨西哥等等。

相關事件一連串的發生， 8 月在泰國、10 月在吉爾吉斯，都接連發生類似台灣ATM被盜領事件，目前世界上的金融攻擊組織主要有四，分別為 Anunak（Carbanak）、Corkow（Metet）、Buhtrap 與 Lurk ，今年 7 月就是 Anunak 攻擊台灣的第一銀行，這些行動當然也引發一般民眾的擔心，先前就有民眾在 Line 群組中瘋傳，如果看到密碼鍵盤（PIN Pad）上有異常的貼紙，就要把它撕掉。這種可能是錯誤的訊息傳佈，讓臺灣的銀行提款機貼紙慘遭民眾撕光光。

叢培侃與臺灣駭客年會都提醒，資訊科技每天都在更新，犯罪型態不停的在改變，惡意攻擊常已不再是你我腦海中的樣貌；因此，不只金融業，我們都應該要學著將風險評估、資安情報分享一同納入決策考量，才能一起面對新型態惡意攻擊。

本文是由臺灣駭客年會（HITCON）在日前所舉辦的「金融資安研討會」演講整理，如果讀者們有興趣，不妨直接收看由臺灣駭客年會的直播，與叢培侃先生所提供的投影片。

「過去我們教育教導學生如何從數據中找出標準答案，但在生成式AI的時代，標準答案往往是最廉價的。」臺大EiMBA執行長李家岩一語道破了這波商業典範轉移的核心。他認為，當資訊獲取邊際成本趨近於零，企業的競爭優勢已不再是單純的「掌握資訊」，而是「如何設計讓 AI 與人共同創造價值的流程」。這不只是一句口號，而是一場正在被驅動的轉型。從課程設計的邏輯重組，到學生創業專題的實戰演練，臺大EiMBA正將校園打造成一個允許失敗、快速驗證的「人機共創實驗場」。

告別標準答案，當教授變成「學習架構師」

「我們不再只是教導知識，而是設計學習。」李家岩指出，臺大EiMBA的課程正在經歷結構性的轉變。現在的教授角色更像是一位「學習架構師（Learning Architect）」，他們的任務不是單向輸出，而是設計出高強度的挑戰與情境，讓學生在解決問題的過程中，自然地將 AI 納入決策迴路。

以今年新開設的「雙軸轉型與人工智慧」課程為例，這並非傳統的技術概論課，而是場關於商業邏輯的壓力測試。學生不再只是繳交一份靜態的商業計畫書，反而被要求運用生成式 AI 輔助設計商業模式畫布（Business Model Canvas），甚至利用Vibe Coding技術讓不懂程式語言的商管學生，也能透過自然語言與提示工程，快速生成互動式的原型與操作介面來模擬市場反應。這項技術打破了傳統「文組企劃、理組執行」的藩籬，讓創意能即時轉化為可執行的程式碼。在這個過程中，AI 扮演的角色並非代筆的秘書，而是將概念具現化的加速器，以及最嚴厲的邏輯質疑者。

「這是我在課程中學到最深刻的一課，」臺大EiMBA二年級生、寵物百分百用戶體驗暨品牌行銷中心負責人鐘紫瀕分享道。身處近200人新創組織的高階主管，她坦言最初員工對 AI 充滿敬畏，甚至恐懼被取代。但在 EiMBA 的課堂上，她發現 AI 真正的價值在於「攻防」與「鏡像」。「老師設計了一種『沙漏式』的提問邏輯，迫使我們把策略餵給AI後，必須面對它無情的反問。」鐘紫瀕回憶，「這個市場假設有數據支持嗎？」、「你的競爭壁壘在哪裡？」這種高強度的追問，都是AI在對學員提出的挑戰，迫使她必須思考得比AI更深、更遠。「以前我們忙著找答案，現在我們學會如何設計出『連 AI 都沒想過的好問題』。AI就像一面鏡子，映照出我們思考邏輯上的盲點。」

數位孿生實戰，將「感覺」轉化為「數據決策」

除了策略層面的思維激盪，AI 在營運端的落地應用，更是讓許多直覺型創業者經歷了一場痛苦卻必要的轉型。臺大EiMBA一年級生、赤赤子設計師林宏諭對此感觸良多。

身處傳統服裝產業，過去他的經營模式多仰賴美感與經驗，「以前做決策就是憑感覺，甚至忙不過來時，連縫扣子這種小事我都自己跳下去做。」但在李家岩講授的「雙軸轉型與人工智慧」課堂上，他被迫面對冰冷的數據與流程，而這正是李家岩強調的「數位孿生（Digital Twin）」素養。

在虛擬世界中建立一個與真實工廠或商業流程一模一樣的模型，利用AI進行模擬與預測，是現代智慧製造的核心。對林宏諭而言這意味著必須將腦中抽象的「職人經驗」轉化為AI讀得懂的 SOP。「那段過程就像是被老師架著刀子往前走，非常痛苦，」林宏諭形容，為了讓 AI 能協助優化流程，他必須把每一個步驟定義清楚，無法再用「大概」、「憑感覺」含糊帶過。

雖然煎熬但成果是豐碩的。當感性的創意被裝進理性的數據框架後，林宏諭發現自己的決策不再是賭博，而是可被驗證的科學。「現在AI不僅幫我理清思緒，更像是團隊的外掛大腦。我開始能鼓勵員工使用AI釋放重複性勞動，讓大家能準時下班，去做更有價值的事。」這正是課程希望帶給學員的轉變，從「事必躬親的管理者」進化為「善用工具的跨域系統設計者」。

跨域共創，打破同溫層的「破壁效應」

如果說AI是另一位虛擬組團員那麼課堂上原本的同學們，就是來自多重宇宙的戰友。這裡匯聚了醫師、網紅、工程師、律師與傳產二代，如此多元的背景在AI的催化下，產生奇妙的化學反應。

李家岩特別提到了榮獲霍特獎（Hult Prize）肯定的「RiiVERSE」團隊。這個由臺大管院 EiMBA 與 GMBA 學生組成的團隊，成員涵蓋了時尚、行銷與創新創業等不同領域。他們利用舊衣回收再製技術，打造出循環經濟的生態圈。「這就是我們強調的跨域共創。」李家岩解釋，在過去，不同領域的專業人士溝通成本極高，但現在，AI成為了通用的翻譯機與黏著劑。

「AI不僅降低了技術門檻，讓文組生也能做Prototype，更讓理組生也能懂得商業敘事。」在這樣的環境下，創新不再是單打獨鬥，而是像RiiVERSE團隊一樣，結合理性與感性，共同回應全球永續（ESG）的艱鉅挑戰。

為了內心的狂熱，動手去做

然而，隨著AI涉入決策越來越深，一個核心問題浮現：在演算法能預測趨勢、生成文案甚至編寫程式的時代，人類領導者的價值還剩下什麼？「我們教的不是被AI取代，而是擴增智慧。」李家岩眼神堅定地說。他強調，未來的領導者必須具備三項關鍵特質：AI素養、跨域系統設計能力，以及科技人文的反思力。

其中最關鍵的，是懂得界定「自主邊界（Autonomous Boundary）」。領導者必須清楚判斷：哪些決策該放手讓 AI 自動化？哪些時刻必須保留人類的溫度與價值判斷？「例如在智慧工廠中，AI 可以預測機台何時需要維修保養，但『什麼樣的風險可以接受』、『我們要解決什麼社會問題』，這些涉及價值觀的決策，永遠需要人類來定奪。」李家岩補充道。

在李家岩眼中，真正的創新往往不是來自同類型人才的討論，而是從不同背景、不同世界觀的碰撞中誕生。「一個人能看到的只是片段，跨域合作才能讓問題完整。」他再次提到。對他而言，EiMBA 想培養的不是知道最多的人，而是能讓「各種智慧」一起工作的人。在AI與人類智慧並存的年代，領導者最重要的能力，不是掌握所有答案，而是打造一個能讓答案自然生成的組織環境。「未來需要的領導者是能整合技術與人、懂得跨域系統思考、也能『擇人(含機器人)而任勢』的人。」李家岩說，而這群充滿創業創新的管理者也將在未來商業戰場上奏出人機協作的新樂章。