安德魯是怎麼讓 ATM 乖乖聽話的?
安德魯是怎麼讓 ATM 乖乖聽話的?

還記得安德魯嗎?

2016 年一銀 ATM 盜領案主嫌 Peregudovs Andrejs
2016 年一銀 ATM 盜領案主嫌 Peregudovs Andrejs

2016 年 7 月,臺灣發生首起透過手機就能讓銀行 ATM 吐鈔的事件,魔術般的手法,一時之間讓台灣民眾都驚呆了!事實上,從 2014 年開始,全球 ATM 的攻擊事件就如火如荼地不斷增加,駭客盜領的事件凸顯出金融資訊安全的瑕疵,資安風險沒有被準確評估!危機的存在,就如同人不可能生活在無菌室中,我們都有可能被感染疾病,如何對資訊風險產生抵抗力!在犯罪樣貌不斷改變的今天,要學習如何與風險並存。

台灣威瑞特系統科技資安長叢培侃
台灣威瑞特系統科技資安長叢培侃,在日前臺灣駭客年會金融資安研討會中,帶著大家了解在 ATM 金融攻擊事件中,銀行系統將面對哪些風險!
圖/ HITCON 提供

如何滲透銀行進行攻擊?

台灣威瑞特系統科技資安長叢培侃首先分析,歹徒針對銀行的 ATM 攻擊,可主要區分為「銀行、ATM、金融卡片」三個層面,企業面對不斷演變的資安威脅環境,其中一項最大的挑戰就是「進階持續性滲透攻擊(APT, Advanced Persistent Threats)」。APT 攻擊指的是從一段時間技術和人員的情報蒐集開始,描繪出後期攻擊的樣貌,在銀行中最常見的是透過電子郵件夾帶病毒附件,使內部員工點開後,感染內部主機。駭客接著透過這些已經被感染的內部主機,掃描內部有哪些電腦,因為受感染的電腦分享路徑是開啟的(對駭客來說),最終駭客就可以在銀行內部植入因應該銀行系統架構所設計的破壞程式;這就是最常見的攻擊銀行手法。

HITCON TALK - 金融資安研討會
圖/ 台灣駭客年會 ( HITCON )提供

俄羅斯一間知名的銀行,就曾經遭受金融攻擊組織「GCMAN」的攻擊,手法也是透過夾帶病毒的電子郵件寄給銀行雇員,郵件開啟後造成電腦中毒,不論電腦是否有連網,惡意病毒都會盡可能感染,嘗試讓提款機吐鈔。另一個惡名昭彰的攻擊組織「Carbanak」,透過電子郵件讓員工電腦中毒後,就可以開啟一個紀錄器,詳細紀錄銀行承辦人員的日常的操作,當發現人員在操作比較重要業務的時候,就能讓受感染的主機開起錄製功能。

誰說提款卡就安全?四面埋伏的提款卡攻擊

你我手中再常見不過的 ATM 金融卡,也可能成為攻擊的目標。ATM 金融卡的攻擊一般分為兩種:「Skimmer」指的是傳統磁條卡片的側錄 ,「Shimmer」則是指我們現在常用的晶片卡側錄。今年 9 月初,美國秘情局發現部分 ATM 被裝有探針,透過 ATM 電路板讓駭客對 ATM 進行遠端控制;密情局因此要求銀行必須全面檢查機器設備。

由於安裝探針必須把 ATM 機台拆開,叢培侃認為實際的作法有兩種可能,其一是透過威脅利誘策反,讓平時銀行內部的技術維修人員直接在例行性維護時進行。另外,過去警方也曾在犯罪集團的聊天記錄中發現,集團會選定義大利人煙稀少小鎮裡無人管理的 ATM,趁放假沒有人時把 ATM 整個拆開研究學習,假期結束後再裝回去,熟悉內部構造後再裝入探針,一旦銀行實體安全沒做好,都有可能面對這種問題。

一般 ATM 的吐鈔模組,都是透過 USB 來銜接,駭客在機器中接上自己的 USB 後,就能讓機器以為有兩個吐鈔模組,接著把正常的吐鈔模組關掉,便能利用假的 USB 去操作,手法相當精細。

叢培侃也引用 Blackhat 2016 特別針對歐洲晶片金融卡攻擊手法分析:一般金融卡交易周期有兩分鐘,有犯罪集團特別找有 NFC 功能的 ATM ,在交易中利用 NFC 將這項交易資料傳送到另一張卡片上,在交易還沒完成時整個卡片資料已經被複製。

消費場域處處可見的 POS,與 ATM 一樣危險!

目前金融犯罪中常出現的 ATM 攻擊,大多鎖定在機台吐鈔元件。駭客駭入銀行系統後,從內部網路控制 ATM 執行特定程式,遠端操控 ATM 控制吐鈔模組。駭客首先必須找到突破口,來進入銀行連線,並找到存取派送主機的方法,取得主機與 ATM 的控制權,來發送讓吐鈔模組啟動的指令。

pos machine_shutterstock_287723627
圖/ shutterstock

叢培侃強調在談資訊安全時只看 ATM 是遠遠不夠的,國際連鎖飯店凱悅(Hyatt)去年就曾經發生磁卡資料外洩事件,因為商務使用的 POS 系統(Point of Sales,銷售點終端)廠商跟 ATM 系統大多相同,因此這些攻擊從 ATM 移到 POS、從 POS 移到 ATM 都是相當容易的,現在許多傳統零售業者都變成電商,對資訊安全需求也提高,POS 系統的攻擊未來在零售業也是有發生的可能,這些接觸點都必須要納入資安監控機制去考量。

惡意攻擊增加,東歐金融攻擊黑色產業

近幾年,不論是針對銀行還是 ATM 本身的惡意攻擊都有增加的趨勢,每年惡意攻擊的頻率越來越高,目標也從東歐移往亞洲地區,包含日本、越南、泰國、新加坡、香港甚至墨西哥等等。

HITCON TALK - 金融資安研討會
圖/ 灣駭客年會 ( HITCON )提供

相關事件一連串的發生, 8 月在泰國、10 月在吉爾吉斯,都接連發生類似台灣ATM被盜領事件,目前世界上的金融攻擊組織主要有四,分別為 Anunak(Carbanak)、Corkow(Metet)、Buhtrap 與 Lurk ,今年 7 月就是 Anunak 攻擊台灣的第一銀行,這些行動當然也引發一般民眾的擔心,先前就有民眾在 Line 群組中瘋傳,如果看到密碼鍵盤(PIN Pad)上有異常的貼紙,就要把它撕掉。這種可能是錯誤的訊息傳佈,讓臺灣的銀行提款機貼紙慘遭民眾撕光光。

叢培侃與臺灣駭客年會都提醒,資訊科技每天都在更新,犯罪型態不停的在改變,惡意攻擊常已不再是你我腦海中的樣貌;因此,不只金融業,我們都應該要學著將風險評估、資安情報分享一同納入決策考量,才能一起面對新型態惡意攻擊。

本文是由臺灣駭客年會(HITCON)在日前所舉辦的「金融資安研討會」演講整理,如果讀者們有興趣,不妨直接收看由臺灣駭客年會的直播,與叢培侃先生所提供的投影片。

往下滑看下一篇文章
我們不一樣!安排健康檢查前,項目怎麼選?用數據啟動「個人化健康」新趨勢
我們不一樣!安排健康檢查前,項目怎麼選?用數據啟動「個人化健康」新趨勢

健康檢查是守護身體的第一道防線,但面對琳瑯滿目的項目清單,醫療名詞艱澀難懂,多數人往往只能被動接受既有的「固定套餐」。擁有全台超過 3 億筆健康大數據的國泰健康管理,瞄準民眾在安排健康檢查前「健檢項目怎麼選」的痛點,以科技驅動打造智慧化「衡好選」健康規劃系統。這套由國泰研發、提供給大眾與合作醫療機構使用的軟體服務,主打「好懂、好選、好預約」,徹底翻轉傳統模式,讓個人化健康規劃真正達到量身訂做,並且已獲得國家專利。

顛覆傳統制式框架,大數據導航篩選「健康優先級」

國泰健康管理數據智能發展部資深協理郭怡賢直言,傳統安排健康檢查時「一體化套餐」的局限性,他不僅深有感觸,更是親身經歷者。即便具備專業背景,一般人面對健檢項目怎麼選,仍難以摸透其中的「眉角」。

他分享了一段來自內部的真實轉折:公司內部夥伴曾因專業的評估建議,加選了過去從未、也從沒想過要關注的指標,竟因此及時察覺關鍵的身體訊號。這類真實故事不斷上演,讓團隊深刻體認到,若僅依賴固定的框架,極可能漏掉重要的資訊。這些服務經驗與真實痛點,成為決定打破過去選擇框架、將專業「大腦」轉化成數位導航的核心動機。

郭怡賢深刻分析,健康管理的本質是一條嚴謹的價值鏈:由「健康發現」啟動,進而達成「日常落實」的目標。他指出,若前端的「需求篩選」不夠精準,後續所有的行動都將失去支點。傳統模式最大的戰略盲點,在於忽視了個體生理狀況與生活習慣的差異,導致受檢者往往處於資訊被動地位。國泰投入研發『衡好選』系統的核心起心動念,就是要打破僵化的框架,利用數據導航協助每位使用者進行個人化健康規劃,讓選擇從『被動接受』,進化為真正意義上的『個人化規劃』。

過去制式套餐常讓大眾因擔心選錯項目而不安,動輒花上數小時解決疑問。透過這套軟體系統融合大數據與專業經驗,將數百項知識轉化為 24 小時在線的「數位大腦」。這不僅突破了服務量能限制,更確保每位使用者隨時都能獲得「不一樣」的個人化篩選建議。

#1 國泰健康管理
圖/ 國泰健康管理

推動健康白話文運動,讓健康規劃好懂、好選擇

近年來健康服務琳瑯滿目,為什麼國泰可以直擊痛點,大膽提出變革?國泰健康管理成立近 15 年來,累積了超過 3 億筆大數據,這不僅只是數據的累積,更是服務經驗的結晶,以及客戶面對龐雜資訊時常見疑惑的解答。透過成熟的科技,「衡好選」系統應運而生,「我們的核心概念是好懂、好選,一次解決傳統選擇上的兩大痛點。」

「衡好選」系統從每個人的生活背景下手,先透過個人體況及家族病史的簡單問答,了解個人狀態,最後加入十大死因等潛在風險資料。綜合評估後,依據客戶的年齡、性別和地區,推算出專屬的指標關注方向,再從數百項選項中精準排序,為客戶「篩選健康優先級」,使用者也能依據推薦再靈活調整。郭怡賢笑說,「就像數位導航一樣,主動提供客製化的推薦,然後依需求自由配置!」

此外,健康項目的說明往往充滿生硬的醫療用詞,這也是國泰在系統進化中花最多時間調整的部分,「我們稱之為『白話文運動』。」國泰與專業團隊梳理,用簡單卻精準的白話指引,把 300 多個項目一一解釋清楚,讓大眾一看就知道為什麼自己的體況需要關注這項指標。而且透過系統選完方案後,就能直接向合作醫療機構預約,方便即時,打造一條龍的便利體驗。系統內還有即時線上小助手,有任何疑惑都能直接諮詢,宛如多了一個 24 小時在線的專屬服務人員。

#0 國泰健康管理
圖/ 國泰健康管理

全新品牌精神上線,喊出健康新哲學「Happy Habit」

從「衡好選」系統的智慧規劃到數位日常工具的全面支持,國泰健康管理將顛覆傳統健康管理的模式,賦予全新的品牌精神「Happy Habit」 ,訴求健康應是快樂、來自每一天一點的生活累積,用輕鬆簡單的方式 。讓大眾透過精準的健康規劃找到正確的方向 ,並運用每日陪伴的數位健康工具,找到專屬自己的快樂生活方式 。

未來,國泰健康管理除了與醫療機構合作,還會更進一步進化,與不同產業和通路展開深度合作,將健康規劃真正融入到生活場景中 ,透過科技系統的協助,讓人們在飲食與日常作息中,輕鬆找到更適合自身健康的選擇 。藉由攜手不同的跨界夥伴,國泰健康管理致力於為客戶提供完整的全方位解方,「我們想打造的是一個完整的健康生態圈!」

在數據與科技的加持下,國泰健康管理讓健康管理不再只是單次的檢查安排 ,而是轉化為融入生活、隨時陪伴的健康夥伴 ,不僅更加貼近客戶的真實需求,也賦予健康管理嶄新的面貌,為產業開創全新局 。

登入數位時代會員

開啟專屬自己的主題內容,

每日推播重點文章

閱讀會員專屬文章

請先登入數位時代會員

看更多獨享內容

請先登入數位時代會員

開啟收藏文章功能,

請先登入數位時代會員

開啟訂閱文章分類功能,

請先登入數位時代會員

我還不是會員, 註冊去!
追蹤我們
代理式商務連動百兆商機
© 2026 Business Next Media Corp. All Rights Reserved. 本網站內容未經允許,不得轉載。
106 台北市大安區光復南路102號9樓