*俄匪劫一銀 隔空吐鈔8000萬 遠端植病毒驅動提款機 北中20分行受害
國內金融史上爆發首件ATM自動吐鈔盜領案,盜領集團兩名來自俄羅斯嫌犯,上周四入境台灣,疑似與另一組人馬在雙北、台中等地,針對第一銀行德利多富(Wincor)機型提款機進行盜領,短短5天還悠閒騎Ubike游走20家分行40台ATM,盜領至少8千萬元,前天並逃往香港;檢警指出,已在吐鈔的ATM中發現兩隻惡意病毒,可遠端操控讓ATM輪流吐鈔,至少有40台ATM中毒,懷疑植病毒與外包維修廠商有關,不排除另有人員接應。
檢警指出,俄羅斯籍嫌犯貝瑞左夫斯基(Berezovskiy,34歲)及柏克曼(Berkman,28歲),在7日持觀光護照入境,先在桃園機場租賃小客車,將車交給另一組人馬至台中提領,兩人再搭車至台北,騎Ubike或搭計程車在台北地區盜領一銀各地ATM,但兩人已於前天搭機離台。
銀行界分析,犯罪集團鎖定一銀,可能是一銀全台768台ATM中,有高達432台德利多富(Wincor)機型;加上一銀日前才將軟體改版,「改版就是風險所在」,因改版讓原廠進駐,讓有心人士有機可乘。
騎Ubike搭小黃下手
警方說,兩嫌騎Ubike或搭計程車在北市作案,但10日晚上在台北古亭分行盜領時,因戴帽子、口罩舉止怪異,一名婦人發現有異,又發現提款機領鈔口遺留6萬多元現金而報警,警方趕至,兩人已搭計程車離去。
警方根據ETC紀錄清查,卻發現兩嫌在台北犯案時,他們在機場租賃的小客車又同時出現在台中,懷疑有另一組人馬同時在台中活動。專案小組已向檢方聲請拘票,據此請國際刑警組織協助追緝。
布袋裝錢僅花5分鐘
檢警調閱監視影像,發現兩人戴帽子、口罩,各佔據一台ATM,在完全未接觸操作ATM情形下,如施魔法般讓提款機不斷吐錢,兩人再將現金裝入大帆布袋中,過程不到5分鐘。
調查局指出,在遭駭的ATM上發現「cngdisp.exe」、「cngdisp_new.exe」兩隻惡意病毒,盜領者可遠端操控電腦程式,使ATM自動連續吐鈔,由個別ATM上盜取現金,目前尚未發現有入侵一銀資料庫進行帳戶轉帳行為。
第一銀副總葉仲惠說,古亭分行在連假上班後,發現ATM鈔箱異常,調閱監視影像才發現遭盜領,作案集中9、10日兩天。葉坦言,歹徒在操作ATM時,沒有操作機器、卡片,而是透過吐鈔驅動程式,未經帳務系統,銀行第一時間根本無法監控。
廠商有內應機率大
一銀初步判定,應是「ATM廠商有內應」機率大,因ATM資訊主機可監控,但遭盜領的兩天,主機完全沒異常,帳務系統也沒問題,但打開ATM「錢就是不見了」,應是ATM遭植木馬程式,目前已全部停用。
至於8千多萬元贓款,專案人員認為可能透過洗錢到國外,也可能還在國內。專案小組私下表示,要緝捕兩名俄羅斯人回台及追回贓款「機率幾近於零。」
律師葉恕宏表示,以電腦程式操縱ATM吐鈔,已涉犯《刑法》利用自動付款設備詐欺罪及妨害電腦使用罪,兩罪最重都可判3年,且每次領款均成立1罪,1罪1罰最重可判30年。
一銀提款機遭盜領事件簿
調查局研判,歹徒事先在一銀ATM的硬碟內植入cngdisp和cngdisp_new兩隻惡意程式。
★07/07:俄羅斯至香港再轉台灣
貝瑞左夫斯基及柏克曼從俄羅斯至香港,再搭機入境台灣,在桃機租車
★07/08:台中分行
該集團在台中一銀各分行,不接觸ATM下,讓提款機自動吐錢,輕鬆提領金額不詳現金
★07/09:
.09:00~21:00:台北光隆分行
上午9時及晚上9時,該集團分別至北市基隆路光隆分行分4次共提領447萬元
★07/10:
.05:00:台北吉林分行
至北巿一銀吉林分行盜領380萬元
.06:30:台北萬華西門分行
至北市萬華西門分行盜領,金額不詳
.07:35:台北古亭分行
2名俄國人到北市古亭分行盜領成功,金額不詳
.08:12:台北古亭分行
再至古亭分行盜領成功,金額不詳
.18:20:台北萬華分行
至北市萬華分行盜領,金額不詳
.20:06:台北古亭分行
2嫌騎著Ubike,三度前往古亭分行盜領成功,金額不詳
.20:17:台北古亭分行
第四度到古亭分行盜領,一名婦人懷疑是車手報警,2人搭計程車逃走
.23:00:台北忠孝分行
至北市忠孝分行盜領成功,金額不詳
.24:00:台北汐止分行
到新北汐止某分行盜領成功,金額不詳
★07/11
.02:00:台北南門分行
於北市南門分行盜領,但未成功離去
.05:00:新北市五股分行
於新北五股某分行盜領成功,金額不詳
.06:30:台灣桃園機場
2嫌開車到桃機還車,準備潛逃出境
.07:09:逃往香港
2嫌搭國泰班機逃往香港
*兩俄人疑跨國駭客車手
第一銀行ATM遭國際駭客鎖定攻擊,20家分行共40台提款機遭盜領8000萬元,檢警清查2名俄羅斯盜領嫌犯貝瑞左夫斯基(Berezovskiy,34歲)及柏克曼(Berkman,28歲)已在前天上午搭國泰班機逃往香港,檢警根據情資,2名俄羅斯人極可能是跨國駭客集團成員,應是來台提款的車手,幕後應有其他成員。
檢警表示,貝瑞左夫斯基和柏克曼是本月7日以觀光名義申請入境,預計停留至本月21日,疑似10日盜領時遭民眾目擊報警,見事跡敗露才提早於11日早上搭機潛逃。
精確掌握分行據點
檢警指出,這兩名俄羅斯人不排除是國際駭客集團車手,根據情資,該駭客集團原鎖定俄、美、德、中國等國銀行,現在攻擊對象卻擴大至亞、非、歐及中東,兩名車手應是受駭客集團指示來台,並在指定時間到一銀分行等候ATM吐鈔領錢。
對於兩名俄羅斯人在台5天行蹤,卻遍及雙北和台中等地,精確掌握到一銀各分行據點,且都選定銀行下班期間盜領,檢警不排除台灣有人接應,移民署也正調查兩人在台出入境紀錄。
*ATM中毒後 受指令1次吐鈔6萬
檢警調偵辦一銀ATM遭盜領案,調查局新北市調查處昨兵分多路,前往一銀總部、資訊處、各受害分行及遭駭ATM系統商「德利多富公司」,調閱該案相關資料,保全涉案跡證,並了解一銀ATM網路系統架構與運作模式、遭盜領ATM之電磁紀錄,發現有至少40台ATM的硬碟被植入2惡意程式,不排除內鬼配合或機台程式被中途攔截植入。
新北市調處表示,遭駭ATM軟硬體均由德商德利多富建置及維護,廠牌為wincor、型號是ProCash 1500。
利用中途攔截手法
經檢測,在中招的ATM硬碟中,發現均遭植入2隻特別編寫的惡意程式「cngdisp.exe」及「cngdisp_new.exe」,辦案人員找來沒中招的ATM植入,ATM果然依惡意程式指令吐錢,每執行一次指令就吐6萬元,目前已清查出至少40台ATM遭駭中招。專案人員初步研判,遭駭ATM可能遭內鬼配合動手腳,歹徒也可能是利用中途攔截(MAN IN THE MIDDLE)手法植入ATM機台。
歹徒在惡意程式「發作」時,會待在機台旁取款,每次「裝錢」約5分鐘就走人。而為分析惡意程式來源及可能植入方式,辦案人員將連同相關電磁軟硬體證據,送回資安實驗室鑑識分析。
*猖狂 同分行從容盜領4次 俄駭客集團恐有台籍共犯 清查租車行蹤
超狂俄羅斯雙駭客上周入境來台,短短5天在中、北兩地橫掃第一銀20個分行,讓40台提款機瘋狂吐鈔,爽領8000多萬元後潛逃出境,過程不僅未驚動銀行,還曾在同一天4度光顧古亭分行盜領648萬元,對行動極具信心,行徑大膽從容且善用台灣交通工具,是否有台籍共犯、銀行內鬼與贓款流向等,令人起疑。
警方調查,俄羅斯駭客雙人組貝瑞左夫斯基(34歲)和柏克曼(28歲),2人上周四入境後在台停留期間,無須任何外力破壞或按鍵操作,提款機就像著魔般瘋狂吐鈔,8000多萬元現鈔拿到手軟,兩人帶走贓款本周一搭機離台。
開車橫掃台中雙北
警方分析,兩人犯案一人把風,另一人則操控2台提款機,快手接下大把大把鈔票,提款機吐盡鈔票才滿足離去,直到本周日最後一次提款被民眾目擊,留下6萬元款項便匆匆離去,但2人早已提領8000多萬元鉅款,第一銀卻是等到民眾報案,才驚覺遭盜領鉅款。
警方根據財損,發現北市基隆路上的光隆分行上周六就被光顧兩次,盜領高達1000萬元;隔天更4度光顧古亭分行領取648萬元,絲毫不擔心犯行曝光,且2人開著租賃車遠赴台中與雙北各地橫掃提款機,甚至悠閒騎YouBike犯案,不排除有台籍共犯協助。
外部人員很難入侵
警方研判,超狂駭客恐與詐騙集團合作,由台籍共犯安排住宿與地下匯兌洗錢,或協助藏匿體積龐大的8千多萬元現金,正調閱監視器畫面,並解讀租賃車GPS軌跡追查,而兩人曾使用YouBike與便利商店購物紀錄,悠遊卡與信用卡相關紀錄也將逐一清查;另指出,兩人分別在大分行與偏遠分行領款,「不排除有來台學中文經驗,能用中文溝通。」
「一定有內應駭客!」警方指出,金融機構提款機都有嚴密的後端控制系統,記錄民眾提領時間、地點、金額等作為扣帳依據,且為防範駭客入侵,銀行後端控制系統皆為內部網路,銀行主機和提款機為架設專線,很難遭外部人員入侵,不排除有內鬼植入木馬程式。
警方表示,俄籍嫌犯未開啟提款機,在未碰觸情況下就令機器吐鈔,但提款機不可由後端控制,且吐鈔金額都會在銀行資料庫留下紀錄,唯一例外是工程師或維修人員操作提款機轉換成維護模式,下指令測試機器吐鈔、藉此檢驗ATM機器吐鈔功能是否正常運作。
警方研判,幕後有駭客工程師用預藏後門駭入一銀提款機後端系統,讓機器在特定時間進入維護模式,繞過銀行稽核帳戶功能,執行吐鈔功能測試,「銀行端後台只會以為機器在進行例行吐鈔測試。」
一工程師行蹤不明
警方追查,可以接觸防護嚴密的提款機和終端主控平台者,只有提款機操作分行員、保全補鈔人員與銀行系統維護人員,且必須精熟軟硬體設計和程式漏洞專業,目前已掌握第一銀委外的系統升級維護工程師,其中一人昨行蹤不明,正循線追查中。
吐鈔疑點vs.偵辦進度
1.設計嚴密的提款機為何自動吐鈔?
研判銀行後台軟體遭駭
2.嫌犯選定台中、台北盜領,對交通嫻熟
不排除有台籍共犯
3.8千多萬元犯案贓款流向?
研判透過地下金流匯出或仍藏放台灣
4.選定颱風夜、炸彈客案發生前後入境?
研判看準警力不足趁虛而入
5.同型提款機卻僅第一銀的被駭吐鈔?
不排除第一銀行系統遭植入木馬
6.第一銀行有員工內應植入木馬程式?
清查接觸提款機的行員、保全與系統維護人員
7.機器異常吐鈔,第一銀遲未發現?
嫌犯繞過銀行帳務系統,讓第一銀無法察覺金額異常
8.俄籍嫌犯來台5天4夜,應有人接應
調閱監視器清查
*俄資安2月已示警 一銀未提防
第一銀行驚傳ATM遭惡意程式入侵盜領現金,類似犯罪手法在國外早有耳聞。俄羅斯資安機構卡巴斯基實驗室(Kaspersky Labs)與國際刑警組織(INTERPOL)早就警告金融機構,駭客可利用惡意軟體入侵ATM,讓ATM自動吐出鈔票。
歐洲曾被盜775萬
對於卡巴斯基示警,一銀卻未提早準備,一銀主管昨稱:「防毒軟體都隨時更新,內部防火牆沒問題。」金管會官員說,惡意程式植入與防毒有關,仍待調查確認,會持續關注。
2014年3月,卡巴斯基實驗室受金融機構邀請研究「丘普金」(Tyupkin)病毒,發現東歐有50多台ATM被感染,卡巴斯基於同年10月發布警告,未料1年間羅馬尼亞、匈牙利、捷克、西班牙和俄羅斯等地,還是有歹徒利用該病毒成功盜領約775萬元。
卡巴斯基指出,歹徒會先用鑰匙或撬開ATM的鍵盤,透過隨身碟在ATM內安裝病毒。為避免被察覺,只會在周日及周一晚間啟動病毒,歹徒就在惡意程式啟動時段前往盜領。
程式啟動時,歹徒先輸入一組號碼,然後透過電話與共犯聯絡,取得由惡意程式產生的另一組號碼,輸入後螢幕會出現惡意程式介面,告知ATM裡還有多少現金。歹徒無須金融卡,只要選提領金額,ATM就會自動吐鈔。一開始,ATM還有提領40張鈔票上限,但新一代病毒沒限制,歹徒可以將ATM內的錢領光。
今年2月,卡巴斯基再度警告有不法集團用惡意程式Metel或Corkow攻擊銀行,用釣魚郵件寄給銀行員工,把惡意程式植入銀行系統。
可「反轉」交易紀錄
歹徒之後會用金融卡在感染病毒的銀行ATM提款,提款之後,惡意程式可以「反轉」交易紀錄,意即歹徒明明領到錢,但未留下交易紀錄。今年1月,俄羅斯1家銀行在一夜之間就被盜領數百萬盧布。
已故國際知名駭客傑克(Barnaby Jack)6年前曾在駭客大會上展示用惡意軟體讓ATM自動吐鈔的手法,讓與會人士瞠目結舌,當時許多負責銀行資安的公司也立即對此修正相關保密安全措施。
國外ATM遭駭盜領案例
2014/12
8名羅馬尼亞籍及馬爾多瓦籍歹徒在羅馬尼亞、捷克、西班牙及俄羅斯等國,用惡意程式入侵提款機,盜領約775萬元台幣。
2015/03
俄羅斯莫斯科市中心ATM遭惡意軟體攻擊,3歹徒盜走約250萬元台幣。
2016/01
俄羅斯30家銀行遭惡意程式入侵,其中1家銀行提款機在一夜間遭盜領數百萬盧布。
2016/05
百人犯罪集團持偽造信用卡,在東京、神奈川、大阪、愛知、福岡等17縣市內1400家超商的ATM盜領約4.28億元台幣
*遭駭ATM出自歐洲大廠 全台4999部
一銀此次遭盜領的ProCash 1500提款機出自歐洲最大ATM廠德利多富(WINCOR NIXDORF),該廠與美商安訊(NCR)、迪堡太平洋(DIEBOLD)號稱全球ATM三雄,即將與迪堡太平洋合併成為全球龍頭,市佔率上看38%,領先安訊的30%,等於全球每3台就有1台ATM出自該集團之手,全台有4999台,市佔率高達2成。
德利多富業務遍及全球130國,在42國設有分公司,德利多富台灣分公司所在的內湖大樓昨天一早立即啟動最高警戒,謝絕媒體採訪,也不願答覆任何提問,原本昨預備對外發表聲明,最後也作罷。
多家銀行動員檢測
一銀ATM遭盜領,銀行業人人自危,不少銀行想了解原因以利防範,但詢問一銀都得不到答案,因此每家銀行一大早就動員人馬大規模檢測自家ATM。
公股行庫資訊部門主管表示,被植入惡意程式的關鍵在程式何時遭到變更,尤其每台ATM都設有防毒程式,除非相當了解ATM內部程式碼,才可能得手。
恐利用NFC遙控
有銀行業分析,入侵方式可能有兩種,一種是直接駭入銀行總部,但是歹徒要從中樞系統辨識出分散各地的ATM目標,可能性不高,比有可能是利用NFC近距離遙控,譬如以手機遙控啟動機器吐鈔等。
德利多富小檔案
★原文名:WINCOR NIXDORF
★創辦人:利多富(Heinz Nixdorf)
★創立時間:1952年
★總部:德國帕德博恩
★員工數:9339人
★市值:621億元台幣
★年營收:910億元台幣
★市場地位:歐洲ATM市場龍頭、全球ATM前3大廠
★在台狀況:創立於2000年
★員工155人:全台4999台ATM,市佔率近2成
*贓款恐換鑽石 帶出境 若靠地下匯兌轉走 「幾乎追不回」
2名俄籍嫌犯從第一銀行ATM盜領8000萬元,鉅額贓款下落也讓外界好奇。金融業者分析,贓款有可能在台灣換買成裸鑽,因裸鑽價值高、體積小,容易攜帶出境;至於贓款匯出台灣有哪些管道?銀樓業者表示,犯罪贓款見不得光,多半會找「地下匯代公司」協助,由於這些業者標榜「甲地匯、乙地領、絕不留紀錄」,贓款若循此管道出去,幾乎不可能追回。
中央銀行官員說:「嫌犯要透過正常管道運出海外的可能性相當低!」根據《洗錢防制法》規定,自然人到銀行匯款、存款達50萬元都必須向主管機關通報,如果嫌犯要透過銀行匯款到海外,8000萬元至少需要160個人頭。
「裝箱必被驗出」
財政部關務署副署長謝鈴媛也說,攜帶台幣出境限額10萬元,如果歹徒攜帶數千萬台幣沒申報,放在行李箱一定會被X光機檢驗出來。
警方認為,8000萬元現鈔重量超過80公斤,要搬運並不簡單,顯然早有預謀,如果兩名俄羅斯嫌犯沒有把錢直接帶出境,合理解釋應該是將贓款送到台中「處理」。
現鈔交易無紀錄
一名銀樓業者指出,不想曝光的資金轉出海外,常見手法就是透過地下匯代公司,先在海外指定好帳戶並約定好換匯的匯率,把現金交給地下匯代公司後,大概5至10分鐘,海外的指定戶頭就會收到約定的款項入帳,由於在台灣境內是全現鈔交易,根本沒有紀錄可以追查。
銀樓業者透露,8000萬元對地下匯兌來說,金額不大,台商在中國需要資金時,地下匯款金額動輒億元,除避開金管會查核,也不須交代資金來源。該業者認為,台灣的地下匯代公司匯往中國、香港的管道最多,嫌犯飛往香港應是要處理匯款。
須有共犯助洗錢
警方表示,已離境的2名俄羅斯嫌犯,如果未將贓款匯出,可能透過台灣共犯買股票或高價藝術品等方法洗錢,等鋒頭過後,再把股票、藝術品賣出,將錢再轉到國外,但也不排除將贓款透過安全隱密的交易模式、購買虛擬貨幣「比特幣」,再經由網路銀行到國外取款。但這些洗錢途徑都必須有其他共犯幫忙,才可能完成。
*落難德製ATM 10年前最夯
第一銀行發生ATM被駭事件,凸顯資安漏洞,銀行主管透露,這次出事的是德國製ATM,是10年前最流行的機型,但鈔券容納量小,許多銀行都在使用期限到期後就改採日本製ATM。
某民營銀行主管說,對於一銀遭盜領的ATM廠牌,本身採購不多,主要是使用過會卡鈔,後來沒再採購,多採購日本製廠牌;且ATM機型不會只採購同一家廠牌,也不會只跟一家代理商購買,通常會分散風險。
將加速汰換舊機
公股行庫主管則表示,年初接到防偽卡組織、VISA卡組織通知,為確保資訊安全,請各銀行趕緊汰換老舊ATM,想不到還在評估新機的期間,就發生一銀ATM遭到盜領情況。盜領案件會刺激公股銀加速汰換舊機的時程,以兆豐銀為例,原預計在明年第1季底前,將老舊ATM除役,現在已經加速,希望能在今年內完成。
台新銀行財務長林維俊指,一銀盜領事件後,已加強各ATM取款防護措施,像保全要打開ATM都須有資訊部門遠端輸入密碼,確保流程無誤。
*被盜ATM 網購5萬有找
第一銀行昨天傳出ATM(自動櫃員機)遭植入惡意程式,被盜領8000萬元台幣,而遭盜領的機種為德利多富WincorProCash 1500,連ebay都買得到。據了解,被歹徒瞄準的ProCash 1500提款機,其實是舊機型,屬於入門款機種,是問世超過10年的老機種。目前在ebay拍賣網站上,只要1475美元(約4.76萬元台幣)就能買到。
*1222台同款ATM 禁領鈔 影響7行庫及郵局 最快今全部恢復
第一銀行爆發史上首見憑空讓ATM吐鈔的離奇案件,金融業大驚失色,財政部一聲令下,要求公股行庫徹底清查,包含彰銀、華南銀、合庫、台銀、兆豐銀、台企銀、一銀等行庫,及郵局逾千台德利多富同款ATM全部禁止提領現金,《蘋果》實地訪問,民眾抱怨連連。多數行庫坦言,最快今明兩天,等檢測安全無虞後,才能重新放行。
一銀ATM遭異常大量提領,引發銀行圈譁然,直呼「不可能」,除互相打聽到底發生什麼事,並緊急召集內部資訊相關部門開會,全面清查自家ATM系統,除逐一核對帳目,深怕自身中招。
若全停用恐會恐慌
金管會昨緊急清查遭駭的德利多富ProCash 1500機型的ATM,共有21家銀行、4999台是該款機型,佔全台2.5萬台ATM比重達20%。金管會銀行局長詹庭禎昨說,不能全部暫停該機款使用,因為擔心全部暫停恐造成民眾恐慌。
據調查,多數是行庫擁有同款機型的ATM,其中以一銀暫停432台最多,郵局259台居次,總計暫停1222台ATM,其中台銀、兆豐銀經過檢測無誤後,於昨天傍晚時陸續恢復正常提領功能。
一銀承擔盜領損失
金管會副主委桂先農做4點指示,要求一銀對外說明事情原委、清查損失;遭盜領的8000萬元損失由一銀全數承擔,並確保未來不能再發生,不能損害客戶權益。財部也要求各行庫清查,公股行庫多採2步驟:一是各分行核對ATM現金和帳務是否吻合;二是暫停同款機型ATM領鈔,全面檢測,等安全無虞才恢復。
財政部次長蘇建榮說,目前其他公股銀沒有發生與一銀類似的狀況,看起來歹徒是鎖定一銀,暫停使用的ATM只要通過資安檢查,都可恢復使用,未來會繼續加強內控。
合庫銀副總胡光華說,官股銀沒有共同採購,不是很清楚一銀狀況,所以檢查同機型ATM,確認沒問題再啟用,不確定何時恢復。中國信託銀行表示,已清查各ATM安全機制及帳務端,目前均未發現異常情況,全台5000多台ATM正常營運服務。中國信託銀行與同業ATM遭盜領事件之同機型ATM約有800多台,均設置於統一超商內,此環境為24小時有店員、設備亦透過保全公司管理,ATM營運一切正常。
「不能提款很困擾」
玉山銀同款有145台,運作正常沒有暫停使用。台新銀全台2600台ATM,與遭盜領事件之同機型ATM約有700台,目前均可正常提領。
《蘋果》記者昨早實地走訪一銀承德分行,三台機器全數不能使用,台銀武昌分行還有館前分行ATM昨也暫停使用,民眾怨聲載道,從事教職業的呂定成抱怨,跑了好幾家都不能提款,實在造成很大困擾。
*半數出包 8大行庫螺絲鬆
2016年堪稱官股行庫出包年,從年初爆發的兆豐銀行假美鈔案,接著華南銀行爆出遭炒房集團超貸5.2億元、台企銀甚至傳出行員冒貸2千多萬元,到昨第一銀行的ATM遭駭案,官股8大行庫中已有半數出包,凸顯老行庫不僅螺絲鬆了,內稽內控出狀況,甚至連風險控管、防火牆機制都大有問題。
華南假房貸2年騙5億
向來是金融業模範生的8大行庫,近來一連串出包,震驚主管機關。金管會銀行局長詹庭禎更直接去電第一金,與董事長蔡慶年對話,除了想了解犯罪集團為何鎖定第一銀行,一銀更表達將尋求檢調、充分配合,希望早日破案。
而這一連串的出包,已經不是前財長張盛和口中所說的「螺絲鬆了」,外界高度質疑老行庫的內稽內控出了問題,這包括炒房詐騙集團利用人頭戶,在華南銀超貸,金額高達5.2億元,台企銀更有行員冒貸、挪用客戶款項達2000萬元。
兆豐假美鈔詐6600萬
至於兆豐銀的假美鈔案及一銀的ATM盜領案,更因為舊型驗鈔機及ATM機型,遭歹徒掌握,被領取高達6600萬元及8000萬元的現金,前者是國內首宗金融機構遭歹徒持假美鈔詐騙鉅款的案件,後者則是國內金融史上首見歹徒在ATM隔空盜領,兩大行庫一前一後遭犯罪集團鎖定,讓金融圈大呼不可思議,更凸顯兩家銀行的風控出了問題。
財政部國庫署長阮清華昨天針對一銀ATM盜領案表示很意外,不過他強調,官股銀不會隱藏問題,都會主動通報、解決問題,銀行並非都很完美,希望加強內外部風控,把傷害降到最低。
*盜領事件背後的黑色產業鏈/林穎佑(銘傳大學國際事務與外交學程兼任助理教授、中正大學巨量資料科技研究中心諮詢委員)
第一銀行發生遭到國際資訊犯罪集團利用ATM提款機程式漏洞,進行資訊攻擊並藉此盜領大量現金(約7000萬元),在透過監視紀錄器以及入出境紀錄比對之後,發現3名疑犯中有2人為俄羅斯人,其在入境之後便租車尋找目標,並在得手之後於7月11日即刻出境。有分析認為日前在羅馬尼亞也出現過類似的犯罪手法,因此可能是國際資訊犯罪集團或是犯罪集團僱用黑帽駭客(black hat)鎖定使用特定ATM機型的銀行進行犯罪。這代表在全球化資訊化的時代中,犯罪手法的變化以及在犯罪防制與預防上,若是無法跟上科技的腳步,只會成為資訊犯罪眼中的肥羊。
凸顯資安情報重要
早在去年與今年初俄羅斯知名資安廠商便有發布警告,有不法集團利用惡意程式攻擊銀行,以寄釣魚電子郵件給銀行員工,將惡意程式植入銀行資訊系統。
而在去年的案例裡,一樣是東歐的犯罪集團將名為Carbanak的木馬程式植入銀行的內部,利用遠端監看銀行的作業程序,再從銀行把款項轉入他們在其他國家開設的臨時帳戶,或遙控ATM在特定地點和時刻吐出現金。攻擊的目標從歐洲逐漸擴散到全世界。如今年5月日本也發生有嫌犯利用南非銀行信用卡、現金卡資料外洩中所得到的資料,利用空白磁卡製造偽卡並且配合入侵後端系統,盜領18.6億元日幣。本次事件與上述案例雖略有不同,但在手法上更為進化,都是近期隨著資訊普及所引發的新型犯罪。
此事件凸顯出資安情報交流的重要,過去在面臨資安事件時多半都會有家醜不得外揚的心態,而不願將受害的原因與入侵的手法公布,讓外界無法及早防範。這也與多數人對於資安事件皆心存僥倖有相當的關係。即便近期對於資訊安全防護已是當紅話題,但許多組織仍然抱持鴕鳥心態,不願正視資安問題。未來若遭到罪犯針對的ATM機種仍有銀行未進行防護措施,都有可能成為犯罪集團潛在的目標。此外,從這些案例中,可發現疑犯都是直接從ATM中領取大量的現金,在出境前應會透過地下金融系統轉匯,或是直接利用網路虛擬貨幣(如比特幣)進行兌換,藉此避免入出境的安檢。
輕忽恐成犯罪溫床
從這些手法與過去案例中都可發現,此類犯罪模式可屢次得手,從入侵、盜領、洗錢都出現標準作業模式,顯示由個案逐漸演變成犯罪集團主導的「黑色產業鏈」,皆嚴重影響社會治安。特別是在未來物聯網時代、大數據應用、電子商務、數位金融等依附資訊科技所產生的新經濟模式,若是輕忽資安問題,很可能會是犯罪者的溫床,更是國家安全的新威脅。
(蘋果日報)
--
*一銀上週ATM更新軟體 遭植入2惡意程式
第一銀行發生ATM遭駭自動吐鈔盜領八千萬案,檢調人員發現有卅八台ATM被植入「cngdisp.exe」及「cngdisp_new.exe」等兩款新種惡意程式,研判駭客集團利用ATM系統更新時植入,再由車手於特定時點,透過手機、平板等載具喚醒程式,ATM即會瘋狂吐鈔。
特別改寫程式 不排除工程師涉入
檢調指出,已找到的這兩款新種惡意程式,是在Google搜尋找不到的惡意程式,研判應是俄羅斯駭客集團針對本次行動特別改寫出來的程式,犯案手法有如一○二年政府公文電子交換網路系統(eClient)遭駭一般。
另據一銀行員指出,上週才接到新的ATM軟體派送更新系統送來各分行,不料近日即驚傳ATM遭盜領,兩者時間太接近,檢調不排除可能有特定工程師將更新系統破解,再利用主機統一更新ATM機會,直接將惡意程式植入主機。
遭駭ATM 購物網站ebay有在賣
此外,本次遭駭ATM廠牌為Wincor(德利多富),型號為pro cash 1500,是老舊機款,研發公司已因經營不善被併購,該款ATM在ebay購物網站上僅售約四萬台幣,出售時還附整套軟體,容易讓有心人購買回去研究。
雖然一銀發言人葉仲惠表示,排除內鬼的可能,但檢調目前查案方向,是不放過任何一種可能性,正展開全面偵查。
趨勢科技資深技術顧問簡勝財表示,國外曾有ATM相關資安案例,包括打開機櫃、插上USB隨身碟以植入惡意程式,或直接透過網路將病毒傳入ATM電腦,以便植入後門進行遠端遙控,或是安裝側錄器側錄卡號與密碼。
簡勝財指出,通常這種ATM提款機,網路多半是封閉型的內網,與一般所謂網際網路是完全隔開的,甚至一銀辦公室也無法連上,安全性極高;如果此案真的是駭客入侵的話,那歹徒應該早就布局好,尤其是透過網路植入病毒,更有一定難度。
資安專家研判「漏洞」可能性較大
資安專家表示,當年美國黑客年會,澳洲老師表演時,就是讓提款機在不須碰觸下自動吐鈔,但未向與會人士說明是如何做到。不過資安專家說,這次事件,依目前資訊研判是「漏洞」可能性較大。
*全球銀行遇駭 三年300億台幣
第一銀行ATM被駭,檢警鎖定俄羅斯駭客犯罪集團疑以新型木馬程式入侵銀行系統。據了解,二○一三年起,俄羅斯駭客集團就利用各類木馬程式在全球狂「駭」銀行、金融機構,至今犯罪所得已超過台幣三百億元,其手法被全球各大網路安全公司形容:「根本是好萊塢電影情節!」
二○一三年間,知名網路安全公司卡巴斯基實驗室(Kaspersky Lab)應邀到烏克蘭調查一起自動櫃員機無故吐鈔事件,調查後發現,是一個由俄羅斯人組成的駭客集團,將名為「Carbanak」的木馬程式透過電子郵件寄送到銀行電腦,等行員誤擊植入後,再遙控櫃員機於特定時刻吐出現金,犯罪手法比好萊塢電影情節更令人難以想像。當時相關單位粗估,該集團得手金額至少達台幣九十四億元,但實際數字更可能高達三倍。
在「Carbanak」之後,各地資安專家近年又陸續發現「Ploutus」、「Tyupkin」等數種惡意程式,而且攻擊手法更加防不勝防,駭客只要先設法打開自動櫃員機外蓋,即可從內部USB孔植入程式,接著再透過輸入特定數字,甚至透過手機簡訊輸入指令,就能操控自動櫃員機吐鈔,也能竊取櫃員機內留下的提款卡資訊。
據悉,類似的攻擊模式已從亞洲、東歐及南美逐漸蔓延到英語世界,利用此手法獲利的駭客集團也越來越多,目前至少已有卅個國家、逾百家銀行及金融機構遭到駭客集團攻擊,被盜領金額超過台幣三百億元。
資安專家指出,使用「Ploutus」或「Tyupkin」等軟體的駭客,為了完全掌控自動櫃員機電腦,只能鎖定特定機型犯案,加上必須先想辦法打開櫃員機外蓋,在地小人稠的台灣並不容易得手;至於「Carbanak」,目前只能靠定時更新電腦系統、安裝防毒軟體等方式防範。
*俄男落跑打哈欠 行李無巨款
針對一銀ATM盜領案,警方到桃園機場調閱相關監視器畫面,二名俄羅斯籍男嫌搭乘班機所有旅客的託運行李,及兩人通過安檢線的手提行李的影像檔,已經確認沒有夾藏任何錢幣,不過,他們十一日上午落跑離境時哈欠連天,看起來連續兩天狂領現鈔沒有休息,顯得非常疲累。
二名俄羅斯籍男子,七日以觀光名義入境狂領,九日上午九點四十一分開始盜領,第一站赴第一銀行北市信義區光隆分行,二人兩天光在台北市一銀九家分行就盜領十六次,得手約五千萬餘元,而其中又僅在羅斯福路古亭分行的兩台提款機,十日上午七點卅五分到晚間八點十三分,就領了四次錢,盜走六四八萬三千元,每次領錢都是一人在車上,一人戴著口罩及漁夫帽下車領錢。
警方表示,二嫌先後在北市大安、中山、中正一、信義、萬華、文山一等區內盜領,除在大安區古亭分行盜領四次得手六百多萬,另在信義區光隆分行盜領四次,得款一千多萬元,以及中正區忠孝分行得手約八百萬元、中山區吉林分行得手三百八十萬元。
二嫌在古亭分行第四次領錢時,一對蔡姓夫妻到分行,蔡妻發現兩男子可疑,不敢進去,回頭跟先生講,要再一起進去時,兩男快步離開現場,其中一筆已在吐鈔口的六萬元來不及帶走。
ATM遭盜領時 未發出警報聲
後來古亭分行得知遭盜領,未向警方報案,表示要回報總行,十日傍晚先向調查局新北市調處報案,昨午才由分行周姓女副理向轄區大安警分局報案。周女說,十日該分行四次遭盜領時,未發出警報聲,調閱主機紀錄僅顯示「CASH ERROR」故障訊號,直到週一上班,經清點才發現遭盜領六四八萬三千元。
*可惜! 民眾兩次報警 還記下車號
第一銀行遭駭走八千多萬元鉅款案,兩名俄羅斯駭客集團成員,當晚戴口罩分別在北市古亭分行與南門分行取款時,因行動鬼祟,且擔心失風來不及拿走一筆六萬元就閃離,民眾輾轉報警,還記下車號,二男隔天凌晨再度領款,又被民眾發覺可疑報警,可惜兩次都慢了一步,警方趕到時已不見蹤影,兩人也迅速於週一上午就離境。
警方追查,十日晚間八時,一名婦人欲到古亭分行領款,發現兩名男子戴口罩領錢,覺得「這兩個人有問題」,轉頭告知在車內等候的丈夫,丈夫下車陪同妻子上前,兩男見狀匆匆逃離,夫妻進而發現其中一台提款機有一筆現鈔未拿走,告知旁邊大樓管理員,並代向大安警分局報案「有人提款忘記取走」。
警方到場時發現有六萬元現金,聯繫分行輪值人員到現場檢視提款機狀況,分行輪值人員表示提領紀錄與影像,須待週一上班時始能提供,完全不知銀行已遭駭。
隔天凌晨二時,兩男又到南門分行提款機,也被一名男子發覺有異,認為可能是詐騙車手,上前喊「幹什麼」,兩男嚇一跳,沒領款就離去,男子向轄區中正二分局報案及提供車號。
*遭駭同款ATM 全台五千台
針對第一銀行Wincor1500自動櫃員機遭盜領,金管會昨表示,使用同類型ATM的銀行高達廿一家,全國近五千台、佔整體ATM比重廿%,銀行業者一早緊急清查,並未發生類似一銀狀況,但仍有一一六二台ATM停用,是否爆出連鎖效應仍待觀察。
財政部次長蘇建榮表示,昨早上一銀遭盜領消息傳出後,便要求其他家公股行庫清查是否有與一銀遭盜領機台相同款式的ATM,有疑慮的同款ATM,也要求先暫停使用,僅剩少部分開放提供點鈔、轉帳等非現金服務,待資訊人員檢核安全過後再重新開放。蘇建榮表示,為避免類似事件,除要求公股行庫清查ATM機型外,也要求重新檢視整體內控流程、資安系統,避免存在風險漏洞。
一銀昨早即暫停使用同款機器,八大公股行庫也全面清查相關機台有無異狀,連同郵局,檢測正常後,以台灣銀行為首的行庫,接近傍晚已陸續恢復運作。
中華郵政昨下午宣布,將暫停與一銀遭駭ATM提款交易,其他轉帳、查詢等功能不受影響。確認系統安全後,會儘速恢復。
金管會銀行局局長詹庭禎表示,本週一已要求一銀全面清查所有ATM,尋求檢調機關協助,務必早日偵破此案。而一銀遭到盜領為存放在ATM之現金,與客戶存款無關,不影響客戶權益。
金管會全面清查國內各銀行,經調查,全國卅九家銀行中,有廿一家使用同類型的ATM,台數有四千九百九十九家;詹庭禎說,各銀行清查後,並未有類似一銀遭盜領或其他異常狀況。
*遭盜領8390萬 警上門一銀還想私了
第一銀行多家分行自動櫃員機(ATM)遭盜領八三九○萬元,民進黨立委徐國勇透露,當警方找上一銀時,一銀還一度拒絕報案,想靠自己抓出內賊,顯見內控至為離譜。
立委痛批一銀內控離譜
徐國勇表示,不只一銀在九日接連被盜領還不知,就連警方十日找上門,一銀還想私了、拒絕報案,就是不想提供資料,想靠自己抓出內賊,這種內控至為離譜,有打混摸魚之嫌,一銀高層都需要檢討。
徐國勇認為,這麼大規模盜領,應該是內神通外鬼的犯罪行為;這麼多現款有可能被帶出國嗎?除非他們連海關都買通了,這機會微乎其微。如果是透過地下匯兌的方式把錢轉出去,調查局、刑事局應該全面追查,因為這已經涉及國際洗錢了。
促調查局、刑事局追查
徐國勇表示,立法院昨三讀通過「資恐防制法」,這筆鉅款會不會被拿來資助恐怖份子,也能用即將上路的新法來處理。
曾任金管會主委的國民黨立委曾銘宗指出,一銀遭盜領八三九○萬元。像一銀這種大型行庫,ATM都有中央控管機制,會被如此大規模盜領卻渾然不知,顯見一銀的內稽、內控有待改進。
他表示,這是直接透過軟體植入ATM,盜領機台現款,而非侵入客戶帳戶;到底內部有哪些人能接觸這些程式,一銀必須全面清查。
曾銘宗提醒,民眾透過網路、手機進行數位化金融服務會更為普及,資安維護將更為重要;而目前尚未對網路資安進行過演習,也應開始規劃演練;銀行公會也要在這方面建立機制與資料庫,全面強化業者的應變能力。
*遇駭 一銀竟說沒鬼 同業打
沒內鬼如何植入惡意程式
一銀ATM遭駭震撼台灣金融業,對於是否有內神通外鬼可能,一銀副總葉仲惠昨表示,了解整個狀況後,目前排除這個可能。對外界懷疑是進行ATM軟體更新時,遭植入惡意程式驅動吐鈔模組執行吐鈔,一銀主管仍表示,軟體本來就會定期更新,此案與軟體更新無關。
可拆機器 叫出程式查
但不願具名的行庫主管指出,如果要更新ATM版本、程式,通常會由廠商更改後再交由行員執行,一銀這次遭駭的ATM,應可透過拆解機器及叫出程式,來判斷是哪個環節出問題。
民營銀行主管認為,一銀指可能遭植入惡意程式驅動吐鈔模組執行吐鈔,問題在軟體不在硬體。
有銀行主管認為,此案最令人好奇的是,歹徒是如何植入惡意程式?一般來說ATM遭到植入惡意程式,有幾種可能,包括透過雲端植入、或不排除有內鬼,且是否有相關服務供應商可能涉入?但一銀也沒有講得很清楚。
銀行業者分析說,若要針對ATM植入惡意程式,由於ATM輸入設備都在機箱內,必須打開機箱才能植入,機箱都設有保全措施,若沒人協助打開機箱,實際上要遭駭機率並不高。
值得注意的是,一銀在幾天前才更新的程式,遭疑與一銀推行無卡提款有關,但一銀否認。趨勢科技資深技術顧問簡勝財說,一銀ATM遭盜領事件,歹徒很有可能是做過事前布局才發動攻擊。
*德利多富ATM-pro cash 1500
這次遭駭的ATM為德利多富(Wincor)所生產的「一五○○」機型,一銀擁有四三八台,占全行七六二台一半以上;該機型共有四個鈔匣,其中一個會設定為「聚鈔箱」,可擺放鈔券的鈔匣有三個,每個約可放二千張鈔票,若擺滿面額一○○○的鈔票,一台ATM可放六○○萬元左右。
*《一銀案》恐地下匯兌香港 有人留台洗錢
第一銀行遭盜領八千萬,集團成員至少有二名俄羅斯籍男子、身分未曝光外籍人士和本國籍人,除了兩俄人已離台,餘人未同步出境,這筆贓款想用搬運夾帶方式出境萬無可能,不排除由暫留台的第三名成員或本國同犯,循地下匯兌、比特幣方式處理,匯出地點最可能是香港。
警方分析,透過地下匯兌時效十分「即時」,手續費每匯出一萬元收取兩百元,也不用留詳細個人資料。地下匯兌會是犯罪集團採用的優先選項之一,不僅可藉此「洗掉」贓款,也較易迴避警方找上門。警方研判,一旦俄羅斯駭客集團採此管道,最可能的匯出地點是香港,「台港線」本就是大宗地下匯兌管道,兩名集團成員搭機離台時,先直奔香港,研判抵港目的就是處理「接錢」和轉匯動作,完成後才再搭機飛回俄羅斯。
(自由時報)
--
*ATM自動吐鈔 一銀遭盜領8千萬
國際犯罪集團以惡意程式入侵台灣第一銀行自動櫃員機電腦系統,隨即派員於銀行休假日入境台灣,在短短六十小時內,以遠端操控模式讓全台廿家分行及機關內卅八台自動櫃員機自動「開口吐鈔」,領走八千多萬元台幣逃逸;警方研判國內有共犯協助處理贓款,全力查緝。
這是台灣金融史上首件自動櫃員機ATM遭大規模、有計畫的盜領事件,調查局資通安全處昨天深夜確認國際駭客植入的兩支惡意程式分別為Cngdisp.exe與Cngdisp-new.exe,漏夜到一銀測試發現,兩款惡意程式一次會讓ATM吐出現鈔六萬元,正分析追查程式來源。警方也確認領款的兩名俄羅斯男子分別是卅四歲的貝瑞佐夫斯基、廿八歲的柏克曼,已向台北地檢署聲請拘票,透過外交系統及刑事局函請國際刑警組織協助追捕。
由於兩名俄羅斯人都是第一次來台,檢警調單位因此懷疑參與犯案的第三名外籍人士可能早一步來台灣探路,之後負責接應車手四處提款,甚至不排除這名接應者曾在台灣念書而會說中文。但警方也不排除台俄犯罪集團合作,由台灣人帶路並負責洗錢。
警方說,犯罪集團兩名俄羅斯籍車手,十日晚間戴口罩在大安區一銀古亭分行ATM前鬼鬼祟祟,在他們後方等候領款的夫妻發現兩人有疑似操作ATM的動作,還不時手按耳朵疑似和人說話,懷疑是詐騙集團而報案。警方獲報趕抵,車手已經落跑,自動櫃員機吐鈔口留有六萬元現金,銀行接獲通報過濾發現在周六、日休假日遇上「無卡提款」的大盜,且大盜已經出境。
檢警調查,俄羅斯籍車手於本月八日晚間九時許搭機抵台,漏夜到台中犯案後北上,九、十日兩天在雙北多處一銀分行櫃員機領款,並於十一日上午離境。由於從清晨「領」到深夜,且北市一銀忠孝路分行及南門分行在十一日凌晨兩點同時出現盜領,短時間內在台北、台中自動櫃員機遇劫,警方因此懷疑可能有兩至三組人馬,且車手都在車上輪流休息。
全案依妨害電腦使用等罪偵辦,因贓款沒有匯兌紀錄,機場也無攔獲攜帶大額鈔票出境者,檢警調單位因此懷疑該集團透過地下匯兌手法將贓款轉往海外。另外,銀行雖澄清沒有「內鬼」,但專案小組沒有排除任何可能,仍會清查銀行內部及ATM自動櫃員機電腦系統維護人員。
*嫌沒帶錢出境 贓款還在國內
涉嫌盜領第一銀行ATM鉅款的兩名俄羅斯籍男子,十一日上午從桃園機場出境;兩人略顯疲憊,通關時還打哈欠,得手的現金並沒隨身或托運攜帶,檢警專案小組因此研判贓款正透過國內地下匯兌管道匯出,正重建犯案軌跡試圖釐清贓款流向。
兩名男子十一日清晨六時許抵達桃園國際機場第一航廈航空公司櫃檯,辦理登機報到手續、取得登機證後,七時零五分通過出境旅客隨身行李安檢線;兩人都依規定將皮帶卸下、取出筆記型電腦及身上金屬物,一起通過X光機檢查。
檢警調查,可確認兩人隨身行李內沒有現金,這班飛機托運行李經X光機檢查,也沒出現巨額鈔票,檢警因此懷疑贓款是通過國內地下匯兌系統洗到境外。
警方指出,國內地下匯兌金額每天以數億計算,八千多萬元算是小數字;兩名俄羅斯車手到香港轉機,不排除是先到香港確認地下匯兌處理進度,完成後再返回俄羅斯。
警方說,大陸、香港是國內地下匯兌的大宗,嫌犯將錢交由台灣地下匯兌業者,業者確認數目後,立即通知香港合作業者付款,也可匯到指定帳戶,是許多犯罪集團的洗錢管道。
*俄組織 曾用相似手法攻擊30國
第一銀行自動櫃員機盜領,警方發現手法和俄羅斯知名駭客組織手法相似,不排除就是這個團所為。
據了解,神祕的俄羅斯駭客集團利用木馬程式「Carbanak」侵入銀行內部系統,感染ATM系統並觀測金錢流向,滲透企業網路。接著,駭客在遠端動手修改銀行相關紀錄,觀察銀行行員動作,再藉機把款項轉到人頭帳戶或直接控制ATM吐錢。
此集團集合歐洲和俄羅斯頂尖駭客,去年已經攻擊全球超過卅個國家,有逾百家銀行及金融機構受害。外媒表示,卡巴斯基實驗室今年二月初向金融機構發出警告,說明俄羅斯駭客集團將捲土重來,且病毒升級後複雜程度加倍。
*工程師:若無內鬼 一銀ATM駭客恐是世界級
有駭客證照的律師徐仕瑋認為,同機型自動櫃員機在不同地區「吐鈔」,可能是國際駭客入侵銀行總行等級的電腦伺服器遠端控制;資深資安工程師也認為,ATM系統屬封閉式,若無「內鬼」配合,駭客能力恐具「世界級水準」。
徐仕瑋指出,因安全性問題,自動櫃員機只能跟銀行內部網路交換資訊,銀行內部電腦有部分能對外連接網際網路,駭客有可能找到其中一台電腦漏洞後入侵,進一步控制銀行電腦伺服器並取得對ATM的控制權。
新北市一名資安工程師表示,讓ATM吐鈔可從主機端或遠端網路兩方下手;若有銀行內部人員與ATM維修廠商遭犯罪集團吸收,可輕易辦到,若排除有內鬼涉案,就是外部人士透過網路遠端操控,難度極高,他懷疑這個集團先駭進一銀,潛伏觀察銀行系統一陣子,看準時機下手,是世界級水準的駭客高手所為。
也有資訊業者指出,犯罪集團應是先入侵某行員電腦,從有權限者連到可接觸到ATM伺服器的員工電腦。
*ATM軟體系統 上周才剛更新
第一銀行台中某分行資深行員透露,上周才更新ATM軟體系統,因與ATM被盜領時間太近,懷疑可能軟體遭破解。另外,前天剛好是分行稽核日,時間也相當湊巧。
一名資深ATM程式設計師表示,「資訊安全」要花大錢,平時卻看不出成效,台灣許多銀行並不重視,加上銀行內部稽核程序不夠嚴謹,憂心未來還是會再發生類似案件。銘傳大學社會與安全管理學系主任詹德恩也說,只是第一銀行「比較衰」,金融業者通常只願意投資在「開發」,防治駭客著墨得少。
ATM遭盜領案曝光後,各縣市一銀分行都有不少客戶詢問權益是否受損,警方也四處查訪各分行遭盜領狀況,台中市第三分局偵查隊長高嘉陽昨天帶隊到南台中分行查證竟碰壁,行員告訴警方「公文來也不能講,要由總行公文回覆。」
張姓客戶看到媒體報導向銀行人員詢問是否提款機遭盜領?銀行人員解釋存款不受影響;林姓大學生說,去櫃台排隊領錢真浪費時間,希望快點恢復正常。
桃園熟悉ATM的銀行主管說,這款ATM廠牌是近十年進入國內自動櫃員機市場,一銀遭盜的該型ATM屬舊型,性能較陽春,比較起來也常出問題、故障多、系統不穩定;他說,過去ATM是被視為保險、沒有問題的機器,如今發生破解漏洞「變得不保險」,這款ATM應會被市場淘汰。
*同款ATM 各銀行約1162台都暫停服務
第一銀行副總經理葉仲惠表示,ATM遭歹徒植入惡意程式驅動吐鈔模組而執行吐鈔,非從客戶的帳戶中盜領存款,客戶權益不受影響,也跟無卡提款無關。金管會則要求銀行公會一個月內強化ATM安控基準,各銀行也要建立ATM運作監控機制。
葉仲惠表示,本月十日北市古亭分行發ATM鈔箱異常,調閱監視影像發現ATM在完全無人操作情形下大量吐鈔,不到十分鐘遭盜領數百萬元;清查發現台北市、新北市、台中市廿家分行、卅八台ATM發生異常,皆屬德利多富(Wincor)公司同款機型。
葉仲惠指出,歹徒在犯案過程中沒有操作機器或使用卡片,未經過帳務系統,所以銀行帳務中心未能監控到異常;目前同機型四百多台ATM已暫停服務,查明原因並確保資安無虞後才會恢復運作。
為何型號皆為德利多富?如何植入惡意程式?歹徒是不是趁ATM軟體更新時下手?有無內神通外鬼?葉仲惠說:「我們也一直在探究為什麼是一銀遭駭」,一切仍待調查,但行員涉案可能性不高。
台銀、彰銀、合庫、華南、兆豐及郵局昨天都停用同款ATM約一一六二台,但民營銀行暫不停用。
*調查局:一銀資料庫未被入侵 存款戶不必驚慌
第一銀行自動櫃員機遭三名外籍男子盜領7千萬元,新北市調處昨天接獲報案,今天晚間發布新聞稿,指出已前往第一銀行總行、資訊處、各分行,以及遭駭ATM系統開發及維護廠商「德力多富公司」調閱資料,保全涉案跡證。
市調處指出,將優先從一銀的網路系統架構、自動櫃員提款機(ATM)運作模式、系統開發及維護流程、遭盜領ATM電磁紀錄、錄影畫面、損失金額等重點方向,著手偵辦。
市調處發現,遭駭ATM軟硬體都是由德商「德力多富公司」建置及維護,廠牌事wincor,型號為pro cash1500,遭植入的2隻惡意程式名稱分別為「cngdisp.exe」、「cngdisp_new.exe」。
市調處會同調查局資通安全處檢測惡意程式,確認遭駭的ATM會立即依程式指令吐出現鈔;目前市調處人員仍在現場蒐證相關數位證據,將送回總局資安實驗室進行鑑識及分析。
市調處提醒使用同款軟硬體ATM機台的金融機構,儘速檢查網路系統中有無「cngdisp.exe」、「cngdisp_new.exe」等惡意程式,立即清除,以維護資安。
市調處說明,盜領者並未插入金融卡或使用ATM按鍵,是使用遠端操控電腦程式,使ATM連續吐鈔,從個別ATM盜取現金,尚未發現有入侵第一銀行資料庫,進行轉帳,一般民眾不必驚慌。
*讓一銀ATM狂吐鈔 原來是這兩支惡意程式
調查局新北市調查處清查一銀盜領案,發現一銀ATM遭國際駭客集團植入的兩支惡意程式分別為Cngdisp.exe與Cngdisp-new.exe,經檢測該惡意程式會使ATM吐出現鈔,為追查程式來源,目前正由資通安全處人員採證分析。調查局也提醒相關單位,若系統中有上述惡意程式,應立即清除。
*一銀ATM盜領案 2俄羅斯嫌犯11日離境
涉嫌盜領第一銀行ATM現金7000萬元的2名俄羅斯籍嫌犯,11日清晨7時許從桃園機場第1航廈出境前往香港,2人攜帶的行李簡單,專案小組研判得手的現金並沒有隨身或托運攜帶。
據了解,專案小組掌握的事證顯示,這2名俄羅斯籍男子,11日清晨6時餘就抵達桃園機場第1航廈航空公司櫃檯辦理登機報到手續,取得登機證後,7時05分通過出境旅客隨身行李安檢線。2人都依規定將皮帶卸下,筆記型電腦取出,身上金屬物也取出,一起通過X光機檢查。
根據相關單位調查,2人隨身行李內可以確認沒有攜帶得手現金,相關單位事後也調出這班飛機所有旅客的托運行李X光機透視檢查畫面過濾,也確認所有行李內沒有鉅額現鈔。初步研判,2人得手的現鈔並沒有隨身或托運攜帶離境。
據研判,2名嫌犯可能徹夜未眠,其中1人通過安檢線時還打哈欠,面露疲態,不過行動沒有受到影響,通過各項檢查及出境長廊時都很平常。
*一銀盜領案 警:贓款應該還在國內
第一銀行ATM提款機遭歹徒盜領7000萬元案,警方表示,目前雖然確定兩名俄羅斯籍嫌犯已經離境,但7000萬巨款不可能輕易攜出海關,研判還藏在國內,交由其他在台共犯洗錢到海外。
警方說,整起案件顯然經過精心策劃,幕後應有一犯罪集團操控,曝光的兩名嫌犯只是「提款車手」,在台還有共犯,負責藏匿贓款、洗錢等。
警方表示,歹徒宛如「芝麻開門」的自動吐鈔手法,目前還無法確定到底如何辦到,但類似機型的自動櫃員機在台灣市佔率極高,許多銀行和超商都有使用,歹徒只挑第一銀行下手,且多達34台,很難不讓人懷疑「內神通外鬼」。
*銀行主管:遭盜領的ATM故障多 同業不愛用
國內一銀ATM遭盜領7000萬元重大竊案,桃園地區一銀旗下12家分行的德利多富(Wincor)同型AMT全部暫停使用,各分行在該型ATM提款機貼上「機器故障」,其中大園分行3台ATM提款機中,2台是與遭盜領同型ATM,另1台又故障,3台不能用,乾脆拉起鐵門不提供提款,有多家一銀分行的3台提款機,竟有2台故障,許多民眾前往ATM提款卻白跑一趟,引發抱怨。
桃園熟悉ATM的銀行主管今天下午表示,德利多富ATM廠牌是近10年進入國內提款機市場,ATM有好幾型,一銀該型ATM提款機較常出問題,故障多、系統較不穩定,常修不好,很多銀行不愛用,如今該型ATM可破解吐鈔,在銀行業是非常嚴重的問題,同業更不敢用將會淘汰。
*警方主動偵辦 一銀竟說...不能講
第一銀行ATM被盜領7千萬元,傳出一銀南台中分行也被盜領,中市第三分局偵查隊長高嘉陽今天帶副隊長到銀行查證,銀行人員表明需有公文,高嘉陽說「好,會給你們公文」,警方第二趟拿公文到銀行,銀行人員回應「公文來也不能跟你們講」,高嘉陽說,很少遇到這種被害人不說被害情形案例。
*破解ATM獲最高權限 按鍵盤如電玩「密技」
第一銀行ATM遭大規模盜領,出事的機型為德國德利多富(Wincor)公司生產,去年11月國外的駭客新聞網站公布,指某資訊安全公司發現該機型有安全漏洞,從ATM鍵盤敲打特定按鍵後,可取得「最高權限」,下指令要求ATM自動吐鈔,警方不排除盜領一銀的犯嫌使用此手法犯案。
熟悉網路科技犯罪的官警說,歹徒在ATM輸入一組數字後,電腦切換至「控制模式」,再操作軟體更新,更新過程螢幕會秀出「帳號及密碼」,歹徒取得帳密後輸入獲得控制權,可自由操作ATM,就像打電玩遊戲的隱藏版「密技」,玩家輸入一組指令變身「無敵狀態」,享有升級功力或無限道具。
警方不排除ATM系統遭植入惡意程式,因每台ATM都是「個人電腦」,從各地與中央主機連線,回報提領金額、剩餘額度等資訊,不過各大銀行的網路採「封閉系統」,安全等級高,即便歹徒植入惡意程式,難以從外部遠端操控,相關指令可能被防火牆阻絕。
官警分析,若歹徒以植入惡意程式手法盜領,沒必要鎖定單一機型,且實際操作有難度,就算掌握植入惡意程式的網路IP位置,不見得知道「染毒」的ATM實體位置,建議金管會全面清查國內銀行的ATM機型,確認是否有安全漏洞,並與ATM廠商聯繫,迅速補強預防機制。
(聯合報)
--
*金管會大清查!一銀ATM被駭 21銀行警戒
第一銀行ATM遭人以植入惡意程式控制,讓歹徒輕鬆取走8,390萬元,震驚全台。根據金管會昨(12)日大清查,國內有21家銀行,4,999台ATM採用該款型號,占國內整體ATM台數比率將近二成。
金管會銀行局長詹庭禎說,已請銀行加強安控。21家銀行昨天也危機總動員,緊急清查ATM運作情況。
出包的ATM是德利多富(Wincor)出產的1500型號機台,昨日盜領消息一出,各銀行緊急將自家Wincor的ATM機台內鈔匣拔除,全面檢查機台程式,暫停提供相關服務,據銀行內部評估,最快也要二、三天後,才能恢復正常提領。
目前國內銀行ATM主要向德利多富、迪堡(Diebold)、日立(Hitachi)與安迅(NCR)等公司供應,其中又以德利多富、迪堡與日立為國內市占前三大品牌,是目前市面上常見ATM品牌。
一銀副總葉仲惠昨日證實,銀行向德利多富採購的ATM,遭駭客植入惡意程式,才會遭人輕鬆搬8,390萬現金,相關犯案細節,要等警方調查釐清。
根據一銀清查,共23家分行、42台ATM發生異常提領,受害分行主要在大台北地區與台中兩地,歹徒顯然鎖定特定分行,有計畫地進行盜領。
熟悉ATM業務的金融業者說,從一銀對外說法(遭人植入惡意程式)來看,研判應和推廣「無卡提款」有關,由於近期銀行的無卡提款業務陸續上路,為了讓ATM適用無卡提款,必須更新ATM程式,推測駭客很可能趁更新程式之際,植入惡意程式,並利用周末銀行戒備鬆懈時犯案。
*無卡提款... 資安考量將暫緩推出
第一銀行遭植入惡意程式,發生異常盜領,恐將引發金融業骨牌效應。據了解,原本計畫推展「無卡提款」的彰化銀行、華南銀行,基於資安考量,將暫緩推出腳步。
無卡提款是指,銀行的存款戶,透過手機設定資料、並綁定行動網銀APP後,提款時只要打開手機APP,輸入密碼、取款金額等資料,APP會提供取款序號,提款人再到ATM輸入序號與ATM密碼,就能領取現鈔。
無卡提款是銀行今年力推的新金融業務,兆豐銀行、台新銀行、中國信託商銀、一銀等都已經上線,而為了讓舊的ATM機台可操作無卡提款,銀行也陸續更新ATM程式。
現在傳出一銀很可能在更新ATM程式期間,遭有心人士植入惡意程式,讓正在籌備無卡提款的銀行業者膽戰心驚,深怕在程式更新期間,遭駭客鎖定攻擊。
華銀主管表示,原本計畫在11月擴大無卡提款適用ATM機台,並同步推出跨行無卡提款,但現在當務之急,必須確定資安無虞,才會推出相關業務。
彰銀主管也說,現在最重要的就是,確認旗下的ATM系統正常無異狀後,才會推出無卡提款,原本預計9月上路的無卡提款,很可能因此延後推出。
*一銀盜領案 歹徒挑台灣下手…三原因
由於第一銀行提款機被盜領,除了一銀外台銀、合庫、彰銀、華銀及兆豐銀等多台ATM暫停使用,嚴重的情況前所未見。 記者林澔一/攝影
第一銀行爆發自動櫃員機(ATM)遭盜領案,外界好奇俄羅斯嫌犯為何挑中台灣下手?國內ATM密度高,一銀剛好在7月初大批更換ATM,加上國內銀行對無帳戶盜領的偵測尚有漏洞,三大因素使台灣成為犯罪集團鎖定的目標。
過去國外也曾發生過這類盜領事件,台灣則是第一次。俄羅斯嫌犯為何挑中台灣下手?銀行業者與官員分析,原因不外乎下列三項。
首先,台灣的ATM密度高。根據金管會資料,國內金融機構ATM台數有2.7萬台,平均每850人就有一台ATM,業者說,最近幾年國外機構統計都指出,台灣ATM密度在全球排名前十名,亞洲更是前三名。
ATM一年交易金額高達9.6兆元,相當於五個中央政府總預算。台灣地方小,歹徒犯案不必費太大力氣。台灣人又習慣用現金,一台ATM裝了200多萬元現鈔,歹徒共得手8,000多萬元。
第二,這次盜領沒有提領紀錄,沒有跟任何帳戶連結,機器就直接吐鈔,銀行主機也偵測不到。業者表示,如果是從帳戶異常提領,銀行主機馬上可以偵測,但沒有帳戶,主機無法立即偵測到,這個漏洞也讓歹徒有機可趁。
這次事發後,金管會已要求銀行強化監控機制。
第三,一銀7月初大批更換34台ATM,剛好成為下手對象,而且分散北、中、南,顯見歹徒早就鎖定哪幾台要更換,而且是利用假日對帳空檔犯案。
金管會銀行局長詹庭禎說,一銀這幾台是德國機器,不算老舊。會依程序請一銀說明,再依其說明看後續如何行政處置。
*俄人怎麼把8千萬弄出台?地下匯兌機會高
第一銀行ATM被盜領超過8000萬,昨日上午與被盜領同型號的ATM都貼上暫停服務的告示,有民眾寫取款憑條臨櫃辦理。 報系資料照
一銀ATM驚爆盜領8,000萬元,兩名俄羅斯人已經出走香港。熟悉地方現金流向的地方人士指出,這8,000萬如果是採用地下匯兌的方式,應該早就已經到香港、澳門或是大陸,很難追回來了。
根據金管會規定,非銀行不得辦理國內外匯兌業務,但華人地區「變則通」,這類地下匯兌公司因應華人需求孕育而生。
地方人士指出,8,000萬元對於經營已久的地下匯兌公司來說只是一筆小金額,過去動輒匯款金額有時會超過億元以上,因不少台商等中小型企業主都會使用地下匯兌,一來可以避開金管會查核,也不需要交代金錢來源以及流向。
地方人士並指出,台灣地下匯兌市場成立相當久,匯款方便,近期還因為外籍勞工來台人數眾多,也有提供外籍勞工地下匯兌。
而這類地下匯兌通常會藏身在雜貨店等商店內,賺取匯款金額的匯差以及手續費。地方人士指出,由於地下匯兌背後的業務做相當大,因此光賺匯差就夠了。
至於市場懷疑,歹徒是否會透過購買黃金方式洗錢,銀樓業者回應購買黃金機會不大,於銀樓購買黃金、金額超過50萬元就必須登記,且金條重量會造成攜帶不便。
如果透過購買裸鑽、高等翡翠手鐲洗錢,高等翡翠手環雖動輒千萬元起跳,但貨源有限,加上珠寶商害怕負擔款項來淵為贓款的風險,珠寶商通常會透過熟悉客戶介紹以事先過濾買家,因此歹徒必須事先找好洽談珠寶商交易。
(經濟日報)
--
*一銀離奇盜領案 ATM上千台凍結
電影「瞞天過海」在台上演!第一銀行昨晚驚爆ATM離奇短少7000萬元,且是在無人碰觸ATM情況下,鈔票像「吃角子老虎」般流出,創下國內首見的ATM離奇盜領弊案。
第一銀行初步了解後懷疑是軟體程式遭到惡意植入控制,且集中20家分行的34台「德利多富Wincor 1500型機種」ATM機種, 目前第一銀行已經全面凍結旗下300多台同一機型的ATM,華銀、彰銀、合庫等各銀行今早跟進暫時凍結同款機種,保守估計至少上千台ATM暫停交易。
Wincor在台灣便利商店ATM有八成市占率,亦是台灣自動櫃員機市場第一品牌,今早引發銀行業大警戒,全面展開清查動作。Wincor是歐洲最大的流通與金融自動化系統供應商與開發商,有30家分公司遍布全球70餘個國家,擁有5千名員工。
據指出,目前國內的ATM提款機器約有2萬7276台,主要是由德利多富、三商及迪堡三家呈現三分天下的狀況,而此次爆出弊端的ATM是屬於德利多富進口的機台,主要發生異常提領是1500機型的ATM。
但因德利多富Wincor在台灣的ATM市占率超過三分之一以上,因此,今早包括彰銀、合庫、華銀、台銀等各大銀行均已暫停同一機型的ATM,初估影響的台數恐在千台以上。
一銀表示,一銀全台共有768台提款機,昨日清查共有34台ATM提款機遭到盜領,目前確知有300多台為同一機種,目前全面暫停使用,其他品牌的ATM正常無虞,各系統之間並沒有直接關聯,消費者還是可以安心使用。
華銀表示,初算與Wincor 1500同一機型的ATM共有86台,目前已暫停使用。
彰銀Wincor1500機型ATM共有49台,彰銀表示,將先暫停其中39台,因另外10台集中在3家分行,若全部暫停,該分行恐無ATM可用,但已做全面監控。
合庫銀也表示,為確保交易安全,旗下Wincor 1500XE系統逾190台,目前已暫停交易,待清點查核完畢以後才會重新開啟。
台銀表示,目前有92台同款機型,但並無異常現象。
據了解,中信金與台新金在全台便利店ATM市占率最高,目前正在進一步了解案情再作後續防範,不過,不願具名的金融同業 表示,這一次歹徒明顯鎖定一銀,應該與硬體無關,應該防火牆系統出問題的機率比較大。
*像吃角子老虎!錄影發現 歹徒幾未碰觸ATM按鍵
第一銀行爆發國內首見「吃角子老虎」式的「隔空取鈔」,在完全沒碰觸ATM情況下鈔票自動流出的奇案,對於一向領先發展網路銀行、第三方支付作業的金融科技面臨極大的挑戰。
不過,一銀上午強調,此次作業系統應是ATM進口至軟體設計時就遭程式植入,所幸ATM、網路銀行、第三方支付系統均各自獨立,伺服器建置等也完全不同,不會有任何關聯,民眾無需過度擔心。但一銀表示,當初機器和軟體設計都是由德利多富公司提供的,因此,為何發生這樣的荒唐事,銀行也還在了解中。
一銀表示,依照銀行的錄影系統發現,提款人幾乎是完全沒有碰觸到ATM的任何機器按鍵,鈔票竟然就從鈔票口流出,這個現象也令銀行相當驚訝,因此,與目前最新的「無卡交易」系統不同,無卡交易還要按幾個密碼、序號等手動動作,這次卻完全「沒碰」,真的比吃角子老虎還令人驚奇。
不過銀行同業表示,一般流程,銀行在進口提款機後,軟體程式都在國內安裝,但安裝時,多會進行漏點掃瞄,避免遭直接惡意程式植入,但對於這次號稱「完全沒碰觸」鈔票就自動流出,專業人士認為,不太可能,至少一定會有啟動某一內鍵程式,才能「喚醒」機器發鈔,但再精密的防護系統,終究還是防不勝防。
*一銀:個別ATM 被植入惡意程式
第一金控旗下銀行自動櫃員機(ATM)驚爆安全漏洞,遭有心人士植入惡意程式,於7月9日和10日假日期間在台北市、台中市共20家分行34台ATM盜領超過7000萬元,但連兩天遭異常盜領公司第一時間完全不知情,甚至直到昨天下班前才向金管會回報,時間延誤未能第一時間處理,警方鎖定3人涉嫌,其中包括2名俄羅斯人,均於昨天潛逃出境。
第一銀說,「經調查後只有那34台有異常」。一銀副總經理葉仲惠指出,目前所知ATM是遭到有心人士各個擊破,經由在個別ATM植入惡意程式後,使ATM自動吐鈔,由於並非從客戶的帳戶中盜領存款,因此客戶權益不受影響。
據了解,事發過程是其中一家分行在連假上班後,發現ATM鈔箱異常,經調閱ATM監視影像,發現疑似2名不明人士帶帽子和口罩,在完全無操作ATM的情形下,直接讓ATM吐鈔後大量提領,並立即將現金裝入背包離開,作案過程約5~10分鐘就在每台ATM輕鬆盜領數百萬元,才展開清查作業,總計20家分行、34台ATM一共被領走了7000萬元。
但是ATM到底是被如何植入惡意程式,目前公司還在了解當中,由於能夠不經由銀行主機控制個別ATM的人只有銀行行員、負責補鈔的保全人員及系統維護人員,未來一銀將從這3方面清查遭到植入惡意程式的原因。
一銀表示,目前全案已緊急報警處理,並向調查局備案,經全面清查銀行ATM,初步瞭解可能遭植入惡意程式驅動吐鈔模組執行吐鈔,因皆屬德利多富(Wincor)公司之同一款機型,目前該款機型一度暫停服務全面清查,「經調查後目前只有那34台有異常」。由於遭盜領之ATM皆非透過該行帳務系統取款,因此並不影響任何客戶存款,客戶權益完全受到保障,且本案因與帳務及帳戶無涉,故與一銀推行的「無卡提款」完全無關。
--
第一銀行自動櫃員機ATM遭盜領7,000萬元,今日在金融圈引爆話題,金融業者揣測紛紛,有傳防火牆問題,也有個別ATM遭到植入惡意程式的可能,「內鬼」涉案機率不低,但公司否認電腦主機有遭駭,也否認有內鬼的情事。
*台中分行銀行行員:上周才更新軟體…
第一銀行發生ATM遭到破解被盜,台中分行銀行資深行員今表示,上周才接到新的ATM軟體派送更新系統送來各分行,因跟ATM被盜領的時間實在太近,初步認為可能跟工程師私下破解有關,加上在非營業日盜領,實在很難察覺。
行員說,台中有兩個分行有異常提領,據統計全台共有34台ATM被盜領,剛好昨天是分行稽核日,規模大的分行,至少7天要循環稽核一次,檢查文件、現金及章摺庫存,許多行員忙到昨深夜才結束,有人員說,不知跟這次ATM盜領事件有無特別關係。
本報記者上午查訪一銀分行,發現自由路分行有4台提款機上貼著故障告示,讓一早趕著來提款的用戶摸不著頭腦,行員則說,今天提領一切正常,不受影響。
提款機停用,苦了領款人,只得臨櫃排隊領錢或至別家銀行提領。
到雲林斗六分行辦事的張姓男子看到媒體報導,向銀行人員詢問存款是否受影響?銀行人員解釋客戶存款不受影響,雲林分行提款機都未遭盜領,但是一銀提款機部分暫時停用,何時重新開放,須等總行通知。
*金管會:一銀自行承擔
第一銀行發生罕見ATM系統遭入侵的盜領事件,金管會對一銀做出四點裁示,並要求所有銀行要提高警覺,注意相關風險。
金管會發言人、政務副主委桂先農接受訪問時表示,第一、將事件經過及處理方式,充分向社會大眾說明;第二、全面清查內部的作業流程及疏失;第三、做好損害管控及風險管理;第四、所有損失自行承擔,不得損害存款戶的權益。
*六年前黑客大會 ATM瘋狂吐鈔造成轟動
第一銀行提款機疑被破解,事實上六年前就有資安專家在一個黑客大會上示範自動櫃員機(ATM)可被駭客輕鬆侵入,只要按下按鍵,就會瘋狂吐鈔,造成轟動,他警告說,檢視過的每一台ATM,都能找到致命漏洞,破解率100%,藉此提醒ATM廠商防範駭客,此人三年前猝逝,是否後繼有人不得而知。
在美國西雅圖資訊安全測試公司(IOActive Labs)任職的主管傑克(Barnaby Jack)花了2年研究破解ATM,他向兩家設備製造商各買一台ATM,放在矽谷住處不斷摸索,找到入侵漏洞。
他發現同一廠商製造的同型ATM都使用相同鑰匙,只要取得鑰匙,打開ATM裡的USB裝置,插入載有他撰寫的破解程式的隨身碟,就能命令ATM吐鈔,這種鑰匙上網可買,一支不過10美元,另一種方法更方便,只要透過數據機連線入侵廠商的遠端管理軟體,就可遙控命令ATM吐鈔,還能盜取開戶者個資。
傑克在2010年7月28日於拉斯維加斯舉辦的「黑帽」(Black Hat)電腦安全會議上,將兩台ATM搬上台,現場示範「Jackpotting」的技法,ATM不斷吐出鈔票,在地上堆成一座小山,這段影片後來上傳youtube網址https://www.youtube.com/watch?v=XmR0yvBTbTc,至今已有七百多萬人點閱。
他當時提到,他還沒針對銀行內的ATM測試這套破解法,但若設於便利商店、大賣場或餐廳的獨立式ATM,入侵盜款輕而易舉,甚至不需密碼,連青少年都能辦到。ATM廠商因此加強補漏。
(聯合晚報)
--
第一銀行盜領案 警:疑第三嫌涉案
第一銀行遭駭,2名俄羅斯人盜領逾7000萬元,警方今天查出恐有第三嫌犯案,懷疑贓款在他身上,且仍滯留台灣,全力追緝中。
第一銀行20家分行共34台ATM,遭到2名俄羅斯人在不碰觸機台情形下,成功盜領7000萬元,警方確認羅斯籍嫌犯34歲Berezovskiy及28歲Berkman,2人皆已出境,不過,警方過濾分行監視器畫面,懷疑有第3名嫌犯涉案。
媒體報導,警方在10日凌晨5時左右,以監視器畫面影像,交叉比對,發現一名男子,行蹤可疑,懷疑就是第三名嫌犯,恐怕是負責擔任洗錢角色,但身分仍未確定。
對此,警方表示,不放過任何可疑人士,有無共犯或國際犯罪組織介入,現在已組成專案小組全力追查中。
*一銀盜領案 航警:2嫌行李無現金私運
第一銀行ATM遭駭,被俄人取走新台幣7000多萬元,並搭機出境,航警局安檢大隊檢視2嫌手提行李及託運行李,均未發現有大量現金私運出境的情事。
第一銀行驚傳旗下20家分行共34台ATM遭駭,被疑似俄羅斯跨國犯罪集團取走7000多萬元,2名已離境的俄羅斯人犯案,另有1人開車接應。
辦案人員指出,此案應有犯罪集團接應,否則難以精準掌握時間點取款,7000多萬元恐以地下通匯方式匯往海外。
航警局今晚指出,經安檢大隊檢視涉第一銀行ATM盜領案2嫌的手提行李及託運行李,均未發現有大量現金私運出境情事。
(中央社)
--
*隔空盜領一銀7000萬 2俄嫌逃出境
驚天動地300秒!第一銀行20家分行的34台ATM提款機,上周颱風連假,遭植入2個新型的惡意程式,讓3名俄羅斯籍男子來台60小時內狂掃7000萬現金,平均每次5分鐘完成提領;隔空吐鈔絕技宛如「大衛魔術」,由於一銀察覺太晚,其中2人周一上午已出境到香港,警方鎖定另名在台俄籍男子,全力追緝中。
3人涉案 60小時攻20分行
至於出境的2名俄籍男子、34歲的Berezovskiy與28歲的Berkman,北檢已開出拘票,交由刑事局透過管道向國際刑警組織通報協緝,行政院並啟動跨部會協調機制,除盡速查明案情,也由外交等單位加入,展現對這起國內首宗駭客擾亂金融秩序重視。
新北市調處指出,11日晚間受理報案後,昨前往一銀總部、資訊處、各分行及遭駭入的系統開發維護廠商「德利多富」公司調閱相關資料,除了解一銀網路系統架構、自動櫃員提款機運作模式、系統開發維護流程,遭盜領的提款機電磁紀錄、錄影畫面及損失金額,也發現遭駭入系統被植入2隻惡意程式「cngdisp.exe」、「cngdisp_new.exe」,共38台。
ATM遇駭 芝麻開門吐鈔
2隻惡意程式經檢測後,發現被駭入的提款機即會依程式指令吐出現鈔。另總行內部伺服器能與分行提款機硬碟連線,但硬碟無法連結外部網際網路,若遠端植入程式,須「繞一大圈」,透過總行內網連線或獲得硬碟安全碼方能植入,而總行伺服器未有被植入程式跡象,如何被駭,不排除內神通外鬼。
檢警指出,涉案的俄籍男子是34歲Berezovskiy與28歲Berkman,2人在7、8兩日分別來台,8日晚歹徒會合後,隨即向慶濱車行的桃機據點租車,接著開車南下台中,接著他們台中往返台北犯案,僅在台北市部分,嫌犯共計在9家分行盜領16次,得手約3000多萬元。
一路掃錢 離境前再幹一票
俄籍車手瘋狂提領動作直到10日晚才被發現,當晚8點多,蔡姓民眾載著妻子到羅斯福路古亭分行領錢,蔡妻進入時撞見戴口罩的2名俄籍男子,直覺對方可疑鬼崇,於是走出來向丈夫示警。蔡陪妻子進入時,2嫌已離開,出鈔口卻放著6萬元未領走的現金,於是向警方報案。
大安分局員警與一銀人員到場時,機器完全沒有異狀,翌日警方向一銀查證時,車手仍繼續犯案提領,連11日清晨5點出境前一刻,還在上高速公路前的新北五股分行犯案。
一銀向檢警供稱,2嫌提款時未插入卡片,也沒有強制破壞動作,所以警報系統無任何反應,電腦主機紀錄也僅顯示「cash error」的故障訊號,加上颱風和周休假日,導致銀行無法及時反應和報警,也讓2名車手成功離境,警方刻追緝在逃共犯,追查贓款去向。
*車手未碰機台 就捧走大把現金 ATM遭駭噴錢 歹徒拿到手軟
第一銀行發生前所未見「隔空吐鈔」盜領案,調查局已查出遭盜領的ATM被植入2個惡意程式,警方也找出國外案例,發現犯罪集團結合駭客在提款機植入惡意程式最有可能,但監視器裡領錢車手未碰觸機器,究竟如何下指令?警調傷透腦筋。
一銀遭鎖定 ATM有共同漏洞
專案小組表示,國內銀行使用該類型提款機相當多,跨國犯罪集團為何獨獨鎖定一銀,顯然被盜領分行的提款機有共同漏洞,包括使用萬能鑰匙或是使用同一軟體,才會遭破解,將進一步調查。
本案由調查局資通安全處和刑事局偵九大隊調查,但一銀態度曖昧,調查局雖已找出2個惡意程式,但據了解,這是新駭客程式,正追查其源頭。
警方說,日本5月份發生的ATM遭大規模盜領是使用偽造提款卡犯案,與本案不同。今年初,羅馬尼亞曾逮捕以惡意程式盜領ATM現金的駭客集團;該集團是透過CD植入程式Tyupkin(丘普金)讓提款機吐鈔,但該機型與此次一銀不同,也必須接觸提款機,如今一銀犯案是隔空吐鈔,犯罪手法升級3.0版,讓人匪夷所思。
據了解,ATM系統介面其實就是電腦,過去幾乎都是微軟支援的XP系統,但微軟有自動播放功能,只要插入USB,就能自動灌病毒影響操作。早在6年前的國際黑帽駭客大會,就有駭客示範按下按鍵,ATM瘋狂吐鈔,這段影片迄今有700多萬次點閱,駭客宣稱破解率100%。
軟體才更新 恐內神通外鬼
而一銀遭盜領的是德利多富(Wincor)1500機型ATM,是超過10年的老機種,去年德國資訊安全專家,曾發現此系統存在資安漏洞,提出警告指出「若給工程師一些相關組合鍵,輸入後可直接跳進管理者螢幕,進而洩漏管理者以及銀行相關訊息,駭客就可進行攻擊。」
一銀為此做出防範,上周才接到廠商送來ATM軟體更新系統,竟就發生駭客盜領案,警方認為時間太接近,不排除是內神通外鬼,將傳喚能不經由銀行主機而控制個別ATM的人,包括銀行員、補鈔的保全與系統維護人員,釐清有無內鬼。
此外,警方甚至發現有工程師私下破解程式,並提供駭客寫惡意軟體,甚至在國外拍賣網站ebay,還能買到淘汰的該款提款機,讓駭客實際測試遠端控制吐鈔效果。
辦案人員研判,以駭客技術有可能在利用ATM主機程式更新機會植入木馬程式,並採「定時炸彈」爆破方式,在精心規畫的時間點啟動ATM吐鈔,讓車手不費吹灰之力捧走大把現金,但此作案必須掌握時間地點及銀行內部資訊,難度相當高。
*拚鈔票 3天急行486公里犯案
3名俄羅斯車手來台犯案,警方調閱監視器按圖索驥,發現其中有人事先來台勘查,挑選凌晨或深夜,以及該分行較不顯眼的地點,彼此會合後,再租車犯案,3天就開了486公里,他們拚鈔票也拚命,白天睡車上,晚上就犯案,出境時,1人還猛打哈欠。
警方查出,出境的2名俄國人是首次來台,卻能熟門熟路在台北市、新北市及台中市迅速狂掃犯案,顯然有在台共犯引路,況且航警局追查2人出境攜帶及託運的行李,未發現有現鈔,贓款仍然在台灣,由於其中1人有帶筆電,警方懷疑就是此次來台犯案的「葵花寶典」。
辦案人員表示,前晚獲知一銀發生盜領案後,即通知北市及台中市全面清查,才知道一銀未向警方報案,反而是透過關係向調查局新北市處報案,警方等同挨記悶棍,仍全力偵辦,並結合航警局、各警局、刑事局、移民署全力動員,1天內查出歹徒身分。
不過,台中市警三分局偵查隊長高嘉陽等人昨前往轄內遭盜領分行了解時,沒想到銀行人員採不配合態度,表示:「不能告訴警方」,就算是警方拿公文來調查,「還是不能講」,讓警方認為,倘若銀行能早先通報,就可能讓外籍車手落網,懷疑一銀想掩飾控管漏洞,才在昨凌晨發布訊息「自清」,否認有內鬼。
但專案小組根據北市目擊民眾所提供的出租車車牌號碼,立即由租車公司掌握涉案人身分,並查出俄籍車手以台幣6400元租用1輛豐田汽車,原應10日深夜還車,卻拖至11日清晨。
2人租車犯案,在北市信義區、中山區、萬華區、文山區、中正區、大安區犯案,其中在西門分行盜領離去時,與第3名外籍車手同搭計程車至台北市大安區東豐街下車,第3名車手始曝光。
令警方感到誇張的是,車手集團犯案時間有些差距不大,研判有其他組人馬同步進行。
*警鎖定中部犯罪集團 7000萬搬不出去 追洗錢管道
7000多萬現金有多重?銀行人士估計約76公斤;犯下國內首宗自動提款機隔空盜領案的歹徒,如何將這些錢攜出境外,令人好奇!不少柯南網友開始鍵盤辦案,推論可能是透過地下匯兌洗錢出境,警方也根據過去國際偽卡集團在台的犯案經驗,研判應該有國內犯罪集團進行接應,並且不排除是中部的詐騙集團。
辦過多起跨國詐欺案的刑事局警官說,兩岸電信詐騙,多是利用地下匯兌或搭機「人肉運鈔」至國外;但俄羅斯人鮮少在台犯罪,應無獨門的洗錢管道,仍須靠台籍嫌犯配合。
刑事局國際科上月偵破羅馬尼亞偽卡盜刷集團,嫌犯是利用「西聯匯款」的個人外匯方式,分批將贓款匯往國外;剩餘款項作為車手佣金,讓金髮老外在台灣混夜店,順便泡馬子協助轉帳洗錢。
但警方說,7000多萬金額龐大,西聯額度太小,無法迅速將贓款匯出,勢必得花上一段時間,所以研判贓款應還在台灣,由共犯保管、分批洗錢。
警方根據車手盜領動線,發現他們曾到台中,不排除這個國際駭客盜領集團,與台中的詐騙集團首腦合流,國外駭客侵入電腦,俄羅斯車手來台盜領,再交由詐騙集團地下匯兌給國外主嫌,從中賺取高額佣金。
目前辦案人員正清查歷年查獲、掌握過的幾個詐騙集團洗錢高手,並透過人脈探詢道上兄弟有無收贓情資,追贓抓共犯。
航警局安檢大隊也表示,自9日至昨日為止,都沒有查獲旅客攜帶大量台幣紙鈔出境案例,7000多萬直接帶出境幾乎不可能,唯一的方式只能透過非法地下匯兌。
此外,俄羅斯車手在台灣人生地不熟,警方目前不排除有其他成員先入境勘查地形,再替車手安排食宿以及]導航路線,而尚未離境的另一名俄籍嫌犯,可能是俄羅斯黑手黨,負責探路、監控及洗錢,因為另2人離境前還再犯案,目前已對作案車輛採驗跡證,盼釐清犯案者身分。
*1162台ATM停用 暫時領嘸錢
一銀ATM遭盜領超過7000萬元,七大公股銀行全面停用德利多富Wincor 1500型機種,全台1162台ATM暫時領不到錢。
公股銀行表示,截至下班前尚未收到德利多富的報告書,在不清楚問題癥結點前,不會貿然開放民眾提領現金服務。
高階主管評估,依目前進度,大概要2、3天後,上千台ATM才能慢慢恢復運作。德利多富則表示,全案已進入司法調查階段,會配合檢調提供資料。
國內發生罕見ATM系統遭入侵,金管會昨指示,所有損失應由一銀自行承擔,不得損害存款戶權益;一銀表示,自行承擔之際,還是會與德利多富查明真正原因,若責任歸屬是德利多富產品設計有瑕疵,不排除求償。
銀行高階主管指出,從警方提供嫌犯辦案手法,最讓銀行害怕的是,歹徒竟然是在「離線」狀態下,讓ATM「隔空」吐鈔,簡直就是在變魔術,就算總行24小時派人監控電腦系統,還是沒有辦法防範被盜領的危險。
銀行私下透露,一銀為了無卡提款的新業務,7天前更改了上百台ATM電腦程式,歹徒就是利用這個機會植入惡意程式,這也是為什麼只有一銀受害,其他銀行沒被波及的主因。不過,一銀否認這種說法,強調銀行平日就會進行檢測改善業務。
據統計,公股行庫中,一銀400台、合庫196台、台銀92台、彰銀39台、華南86台、兆豐90台停用,加上郵局同款259台,合計停用的ATM約1162台,占全台同款機型的23.24%。
(中國時報)
--
*一銀ATM遭駭 疑內神通外鬼
第一銀行發生前所未見「隔空吐鈔」盜領案,調查局已查出遭盜領的ATM被植入2個惡意程式,警方也找出國外案例,發現犯罪集團結合駭客在提款機植入惡意程式最有可能,但監視器裡領錢車手未碰觸機器,究竟如何下指令?警調傷透腦筋。
專案小組表示,國內銀行使用該類型提款機相當多,跨國犯罪集團為何獨獨鎖定一銀,顯然被盜領分行的提款機有共同漏洞,包括使用萬能鑰匙或同一軟體,才會遭破解,將進一步調查。本案由調查局資通安全處和刑事局偵九大隊調查,但一銀態度曖昧,調查局雖已找出2個惡意程式,但據了解,這是新駭客程式,正追查其源頭。
新北市調處則於昨日上午兵分多路前往一銀總部、資訊處、各分行及遭駭入的系統開發維護廠商「德利多富」公司調閱相關資料,除了解一銀網路系統架構、自動櫃員提款機運作模式、系統開發維護流程,遭盜領的提款機電磁紀錄、錄影畫面及損失金額,也發現遭駭入的系統被植入2隻惡意程式「cngdisp.exe」、「cngdisp_new.exe」。
市調處進一步說明,2隻惡意程式經檢測後,只要被程式駭入的提款機,隨即會依據程式指令吐出現鈔,每次最高額度6萬元,為追查程式來源及植入方式,目前有38台提款機遭植入。
警方說,日本5月份發生的ATM遭大規模盜領是使用偽造提款卡犯案,與本案不同。今年初,羅馬尼亞曾逮捕以惡意程式盜領ATM現金的駭客集團;該集團是透過CD植入程式Tyupkin(丘普金)讓提款機吐鈔,但該機型與此次一銀不同,也必須接觸提款機,如今一銀犯案是隔空吐鈔,犯罪手法升級3.0版,讓人匪夷所思。
而一銀遭盜領的是德利多富(Wincor)1500機型ATM,是超過10年的老機種,去年德國資訊安全專家,曾發現此系統存在資安漏洞,提出警告指出「若給工程師一些相關組合鍵,輸入後可直接跳進管理者螢幕,進而洩漏管理者以及銀行相關訊息,駭客就可進行攻擊。」
一銀為此做出防範,上周才接到廠商送來ATM軟體更新系統,竟就發生駭客盜領案,警方認為時間太接近,不排除內神通外鬼,將傳喚能不經由銀行主機而控制個別ATM的人,包括銀行員、補鈔的保全與系統維護人員,釐清有無內鬼。
此外,警方甚至發現有工程師私下破解程式,供駭客寫惡意軟體,甚至在國外拍賣網站ebay,還能買到淘汰的該款提款機,讓駭客實際測試遠端控制吐鈔效果。
辦案人員研判,以駭客技術有可能利用ATM主機程式更新機會植入木馬程式,並採「定時炸彈」爆破方式,在精心規畫時間點啟動ATM吐鈔,讓車手不費吹灰之力捧走大把現金,但此作案必須掌握時間地點及銀行內部資訊,難度相當高。
*約5千台 遭駭同款機型 占全台2成
一銀ATM遭駭導致被提領7,000萬元,引發金管會重視,銀行局長詹庭禎12日親自上陣提出五點說明,強調目前清查全省有21家銀行、4,999台同類機型ATM,占ATM總數的20%,已請銀行公會轉請各銀行,要針對相同機型妥善因應安控,且一個月內要強化ATM安全控管基準,並要求銀行建立ATM運作監控機制。
初步統計,目前各金融機構暫停提款等部分功能的同款ATM估計近1,200台。
詹庭禎表示,該款ATM是德國製,公、民銀行都有使用同類機型,像是華銀、一銀、國泰世華、台新銀等21家銀行都有,目前為止其他銀行同類機器並沒有發生異常情況,各銀行可自行評估要不要暫停使用。
中華郵政12日就宣布,暫停同款機型259台ATM提款交易功能,其他轉帳、查詢等功能不受影響;中華郵政強調,客戶如有ATM提款需求,請改利用鄰近其他機型ATM提款,或於營業時間內持金融卡臨櫃提款,中華郵政將於確認系統安全無虞後,儘速恢復該機型ATM提款功能。
合庫昨天也宣布停用196台同款ATM;土銀高層則表示,清查後發現全行並未用得利多富該型號的ATM系統,因此未受影響,但仍有進行防備測試;台銀也在下午停用92台該型號ATM,並進行測試。彰銀、華銀和兆豐也各有40~90台暫時停用。
針對為何只有一銀遭駭,詹庭禎也指出,後續會看一銀在行政上控管和內部稽核上有無缺失再處置。
詹庭禎表示,所謂強化安控基準,例如一銀這種提款異常,大量提領的區域,主機及訊息應該要能顯現,現已有既有的安控基準,未來有再強化的地方;各銀行也該加強控管機制、監測系統,當機器大量吐鈔、且出鈔金額異常,金融機構要能掌握。
金管會強調,11日已要求一銀全面清查所有ATM;一銀遭盜領款項是存放於ATM的現金,與客戶存款無關,不影響客戶權益。一銀目前有400台停用。
*約5千台 遭駭同款機型 占全台2成
一銀ATM遭駭導致被提領7,000萬元,引發金管會重視,銀行局長詹庭禎12日親自上陣提出五點說明,強調目前清查全省有21家銀行、4,999台同類機型ATM,占ATM總數的20%,已請銀行公會轉請各銀行,要針對相同機型妥善因應安控,且一個月內要強化ATM安全控管基準,並要求銀行建立ATM運作監控機制。
初步統計,目前各金融機構暫停提款等部分功能的同款ATM估計近1,200台。
詹庭禎表示,該款ATM是德國製,公、民銀行都有使用同類機型,像是華銀、一銀、國泰世華、台新銀等21家銀行都有,目前為止其他銀行同類機器並沒有發生異常情況,各銀行可自行評估要不要暫停使用。
中華郵政12日就宣布,暫停同款機型259台ATM提款交易功能,其他轉帳、查詢等功能不受影響;中華郵政強調,客戶如有ATM提款需求,請改利用鄰近其他機型ATM提款,或於營業時間內持金融卡臨櫃提款,中華郵政將於確認系統安全無虞後,儘速恢復該機型ATM提款功能。
合庫昨天也宣布停用196台同款ATM;土銀高層則表示,清查後發現全行並未用得利多富該型號的ATM系統,因此未受影響,但仍有進行防備測試;台銀也在下午停用92台該型號ATM,並進行測試。彰銀、華銀和兆豐也各有40~90台暫時停用。
針對為何只有一銀遭駭,詹庭禎也指出,後續會看一銀在行政上控管和內部稽核上有無缺失再處置。
詹庭禎表示,所謂強化安控基準,例如一銀這種提款異常,大量提領的區域,主機及訊息應該要能顯現,現已有既有的安控基準,未來有再強化的地方;各銀行也該加強控管機制、監測系統,當機器大量吐鈔、且出鈔金額異常,金融機構要能掌握。
金管會強調,11日已要求一銀全面清查所有ATM;一銀遭盜領款項是存放於ATM的現金,與客戶存款無關,不影響客戶權益。一銀目前有400台停用。
*公股行庫猛出包 螺絲鬆了?
今年以來,公股行庫屋漏偏逢連夜雨,除了面對機關首長可能因新政府上台出現人事變動,更像是染了雞瘟般不斷出事,有拿假美鈔換真台幣,有被犯罪集團鎖定高價鑑定後借出房貸,還有把客戶的錢拿去操作,現在連ATM都像是上演電影般的直接吐鈔票情節,公股行庫若是再不落實內控,下一個出包事件,想必很快就會再出現。
一銀這次ATM吐鈔案讓金融業者大呼有如電影情節,問題是,歹徒分了兩天、在多個分行提領,為什麼第一時間一銀沒有發現?平日一銀ATM系統維護究竟是委外還是自己處理?一銀系統是不是出了漏洞才讓犯罪集團找上一銀而不是其它銀行?且案件發生後,一銀延至12日凌晨才發布訊息,種種看來,都讓外界質疑,一銀是不是螺絲鬆了。
再看兆豐商銀200萬美元偽鈔詐騙事件,也是跨國集團犯案,且預謀兩個月,但今年1月就已露出事端,主要問題就在分行行員對於熟悉的客戶喪失警覺性,未以SOP程度受理,才導致遭詐騙。
臺灣企銀則是有行員違規冒貸及挪用客戶款項,也有辦理大額通貨交易疏於確認客戶身分、內控制度未臻完備及未落實執行、內部自行查核未確實執行等缺失。華南銀行則是遭犯罪集團利用,有讓房屋貸款人超貸的情況。
「為什麼出包的多數都是公股銀行?」這是不少人共同的疑問,也可看出,在人事浮動的情況下,公股行庫的內控確實出了一些問題,對行員的訓練和管理也有疏漏之處,這是後續公股行庫新任高層主管、公股行庫大股東財政部,乃至主管機關金管會、央行都應緊盯的事,不是每次問題發生後,拿一句「會努力改善」就可以說得過去。要是螺絲持續未上緊,可預見類似事件還是會一再發生,犯罪集團永遠有機可趁。
(工商時報)
沒有留言:
張貼留言
注意:只有此網誌的成員可以留言。