調查局偵辦 ATM 遭盜領案:提款機遭植入 2 個 .exe 惡意程式,一執行就吐鈔

作者 | 發布日期 2016 年 07 月 13 日 9:10 | 分類 網路 , 資訊安全 , 軟體、系統 follow us in feedly

在一銀遭受跨國集團以駭客方式盜領 7 千萬逃逸之後,調查局受理此案進行調查,並且發表初步的調查報告。初步發現 ATM 提款機遭到植入兩個惡意程式,不過目前並未說明這兩個惡意程式是怎麼被植入提款機裡。



調查局表示,於 11 日晚上受理第一銀行檢舉後,調查局於 12 日上午立即報請台灣台北地方法院檢察署指揮,並由調查局資安專業人員,於上午兵分多路,分別前往第一銀行總部、資訊處、各分行及遭駭 ATM 系統開發及維護廠商「德利多富公司」調閱該案相關資料,以保全涉案跡證。

T客邦配圖

▲ 第一銀行提供的盜領畫面。

調查局表示,偵查重點主要在對第一銀行該行網路系統架構、自動櫃員提款機(ATM)運作模式、系統開發及維護流程、遭盜領 ATM 的電磁紀錄、錄影畫面及損失金額等,進行初步的了解。

而調查局在調取相關物證過程發現,遭駭 ATM 軟硬體均由德商「德利多富公司」建置及維護,其廠牌為 wincor,型號為 pro cash 1500,發現遭植入 2 個惡意程式名稱分別為「cngdisp.exe」及「cngdisp_new.exe」,經檢測該惡意程式,確認遭駭的 ATM 會立即依該惡意程式指令吐出現鈔。

T客邦配圖

▲ 查了一下該公司的官網,不確定這款 1500xe 與一銀的機種是否為同款。

T客邦配圖

▲ 做為參考,1500xe 採用的系統為 Windows XP。

至於這兩個惡意程式,怎麼會到 ATM 裡,調查局目前仍無相關線索可以追查。不過調查局表示,為追查其來源及植入方式,調查局人員正在現場 image 相關數位證據,將送回資安實驗室進行鑑識及分析,以利釐清案情。

調查局另提醒使用同款軟硬體 ATM 機台的金融機構,盡速檢查網路系統中有無「cngdisp.exe」及「cngdisp_new.exe」等惡意程式,立即清除,以維資安。

調查局並且呼籲,有關查盜領者於 ATM 盜領時,並未插入金融卡或使用 ATM 按鍵,僅於遠端操控電腦程式,使 ATM 自動連續吐鈔,是從個別 ATM 盜取現金,尚未發現有入侵第一銀行資料庫,進行轉帳行為,故存款人暫勿驚慌。日後民眾若發現此種異常操作 ATM 提領金錢者,請立即通報銀行及警調機關,以追查不法情事。

(本文由 T客邦 授權轉載)

延伸閱讀:

發表迴響