【明報專訊】第一銀行ATM提款機遭盜領案,調查局經查後證實,一銀倫敦分行的電話錄音伺服器主機先遭入侵,入侵者利用一銀ATM更新程式係由內部主機自動派送的機會,竟仿冒派送軟體並開啟遠端控制服務,本月9日,再透過遠端登入上傳ATM惡意程式,發動車手來台瘋狂領鈔。
硬碟遭駭 總行狀況外
中國時報報道,為釐清倫敦分行究竟是駭客攻擊的跳板,還是盜領自家ATM的幕後黑手,一銀16日凌晨要求倫敦分行送回疑遭駭客借徑的電腦設備,包括一部電話錄音主機的2顆硬碟及1部個人電腦硬碟,並請分行幹部返台說明,調查人員發現電話錄音主機其中1顆硬碟疑遭植入自毀程式,部分程式遭刪除毀損,目前正試圖救回還原。
另2顆硬碟中,調查局根據發出訊號指令的時間點及數位軌跡,與一銀ATM遭到盜領時間比對後發現吻合,只是一銀總行對ATM突遭更新程式渾然不覺,令辦案人員感到驚訝。
調查局新北處昨以證人身分傳喚倫敦分行幹部、一銀資訊單位主管及ATM廠商德利多富職員共3人到案說明,釐清異常連線內容及原因,經過逾10小時詢問後請回。
倫敦下指令 吐鈔清鈔
調查局指出,9至11日對一銀ATM下達吐鈔指令的遠端遙控訊號來源,是一銀倫敦分行的電腦主機及2顆儲存電話錄音的硬碟,該主機透過內部網路與台灣ATM機器曾經異常連線。而一銀倫敦分行去年及今年都曾遭駭,但未成功,這次遭駭的電話錄音伺服器,平日鎖在鐵櫃裡頭很少開啟,如何入侵還待查。
新北市調處表示,東歐犯罪集團疑利用發送電子郵件或透過網站連結將惡意程式透過控制主機植入不易被察覺的電話錄音硬碟中,由於一銀ATM更新程式係經由內部派出主機提供更新程式,自動派送至各ATM,7月4日入侵者仿冒派送軟體,並開啟遠端控制。
玩時差 未察異常連線
7月9日,駭客再以惡意程式 執行測試吐鈔開關夾,經車手回報測試成功且就定位後,國外操控者由網路遠端執行吐鈔,完成盜領後,再將隱藏控制程式、紀錄檔、執行檔全部清除,並將遠端連線服務由自動變更手動。
一銀也發現除41台遭盜領外,另有3台曾主動連線到倫敦一銀主機,且有2台監控畫面是有車手出現,卻未進行盜領,初步研判應是開啟失敗,即要求車手轉往下一個預定地點。
為何選擇倫敦分行作為發動攻擊起點?調查人員推測,倫敦與台灣有8小時的時差,在倫敦當地下班後下手,可減低在兩地遭發現出現異常連線的風險,計劃相當縝密。
調查人員擔憂,駭客利用一銀海外分行來指揮位階較高的台灣總行主機的資安漏洞,未來這種侵入分行發動攻擊、控制總行模式的犯罪手法,恐怕將再現。
40個密碼 跳過不設防
檢警追查另發現,ATM執行吐鈔清鈔功能時,必須同時輸入分行經理等共40個密碼都齊全才能操作此功能,但從一銀華江分行的提款機查出病毒碼發現,該惡意程式能直接越過40個密碼的操作程序,直接對提款機下達吐鈔清鈔的指令,吐完鈔後還可自動刪除病毒碼,連吐鈔紀錄也會一併消失不見,相當厲害。