偷了 360 億的國際天才駭客,為什麼栽在台灣?

作者 | 發布日期 2018 年 07 月 08 日 12:00 | 分類 網路 , 資訊安全 line share follow us in feedly line share
偷了 360 億的國際天才駭客,為什麼栽在台灣?


兩年前,轟動全台的一銀 ATM 吐鈔案,今年駭客集團首腦在西班牙落網。直到破案,外界才知道,這個讓全球 100 家銀行受害的國際駭客集團,破案關鍵就是台灣。

還記得兩年前夏天,第一銀行 22 家分行,41 台 ATM 自動吐鈔 8 千多萬,有如科幻電影的電腦駭客劫鈔案嗎?

時隔兩年多,犯罪集團主嫌,被國際警察形容為電腦天才的烏克蘭籍 Denis K 在西班牙落網。根據歐洲警方的調查,5 年之內,Denis 駭入 40 多國、100 多家銀行的系統,偷走超過 10 億歐元贓款,而台灣是這個集團犯罪最遙遠的地方。

為什麼病毒會遠渡重洋到台灣?故事,要從一個失誤開始。

病毒如何遠渡重洋?

依規定,銀行必須保存電話錄音半年,在清洗掉錄音之前,需要重聽一次。失誤就發生在,一銀倫敦分行行員用中毒的個人電腦,登錄電話錄音系統。就是這樣的一個小動作,讓病毒以錄音系統為跳板,進入了銀行主系統。一旦可以連到主系統,就開始在公司內部流竄。

法務部調查局資通安全處科長劉嘉明說,這群駭客的手法並不特別,用的就是俗稱的社交工程。冒充合法公司,向銀行職員發送帶有惡意附件的電子郵件,若有人下載惡意郵件的附件,犯罪集團就可遠端控制受害者的受感染電腦與網路設備,並入侵內部銀行網路,進而控制 ATM。

歐洲警方發現,Denis 集團犯案已超過 5 年,之所以一直到台灣才栽跟斗,是因為熟悉銀行「息事寧人」的潛規則。他的犯案金額控制在「銀行不須通報主管機關」的額度內。金管會當初重罰一銀 1,000 萬,也是因為一銀出事後,反應太慢。

但是,歐洲犯罪集團沒想到的是,台灣地狹人稠,早在銀行報案前,已有熱心的民眾報案了。密布的街頭攝影機,還原車手來去的路線,透過清查飯店住宿紀錄,讓這群 19 位車手無所遁逃。甚至還有車手在小吃店落網。除了台灣抓住的 3 人,這些車手陸續在美國、白俄羅斯、英國落網。

▲ 兩年轟動全台的一銀 ATM 吐鈔案,今年駭客集團首腦在西班牙落網,破案關鍵就是台灣。(Source:天下雜誌)

台灣立功,找到車手集團頭目

「台灣找到車手集團的頭 Babii,是這次主嫌落網的關鍵,」一銀案主辦檢察官台北地檢署李彥霖說。他將以一銀案代表台灣角逐國際檢察官獎。

李彥霖說,台灣先抓到在台北火車站置物櫃取款的車手,循著通聯紀錄,找到了 Babii。8,000 萬贓款,Babii 負責處理 6,000 萬。外交處境困難的台灣,後來透過日本協助,發布全球通緝。

一年多後,Babii 在白俄羅斯落網。他與 Denis 的通聯紀錄與台灣檢調挖出的兩支惡意程式 Carbanak和 Cobalt,建立了直接證據,因而連結上 Denis。

因為證據確鑿,這位天才駭客才落網,他坦承吐鈔、滅證的程式都是他寫的。

問檢調偵辦一銀案最困難的地方是什麼?劉嘉明說,就是要從龐大的資料裡抓出惡意程式,重建病毒入侵的路徑,還要恢復作案後被主嫌刪除的檔案。他說,這個案子每天約產生一千萬筆紀錄,一銀從中毒到遠端發動攻擊,需要分析半年,資料量高達 18 億筆。

檢察官李彥霖則透露,當時為了調查有沒有內賊。調查員反覆查看 22 家分行的錄影帶。一銀案當時發生一件案外案,內湖有位老翁撿到錢,檢調花了很多時間調查與老翁同姓的行員,與老翁有無親戚關係,是否有勾結,任何蛛絲馬跡都不放過。最後確認,真的只是一個無心的疏忽。

▲ 圖為法務部調查局資通安全處科長劉嘉明。(Source:天下雜誌)

問電腦高手劉嘉明,台灣企業應該從一銀案學到什麼教訓?

駭客已經能控制自動駕駛

他提醒,第一,企業應該改變思維,因為一次損害可能讓多年獲利毀於一旦,所以不要忽略資安的重要性。第二,企業必須認知,資訊與資安人員不同,不要認為資訊人就可以做資安。第三,即使取得認證,國際資安威脅一日數變,資安人員必須即時更新設備與最新知識,必要時應該請專業團隊做輔導,也要做好紀錄儲存。

「許多駭客攻擊方式,還是透過人(譬如:郵件釣魚),幫員工做訓練有其必要性,」他強調,企業不妨常做模擬演練,關鍵是不要美化數據,才能確實防範。

劉嘉明也提醒,隨著科技發展,最近國際上不少新型態的犯罪已經出現。譬如:已經有駭客遠端控制自動駕駛,要求贖金;物聯網系統也有遭到遠端入侵,導致個資外洩的案例。

「每家企業都可能成為一銀,」劉嘉明提醒,一銀在此案是受害者角色。

而在這個數位時代,危機就在每個人的身邊。

(本文由 天下雜誌 授權轉載;首圖來源:pixabay

延伸閱讀: