國內金融資安出現大漏洞?11月25日國內凱基證券等5家券商才遭到駭客以「撞庫攻擊」盜買港股深藍科技事件,29日又傳出銀行客戶端金融卡遭駭入盜刷事件,不過,這次是中信銀的風險警示系統主動偵測發現告知,但也顯示我國金融體系連續遭到駭客攻擊。匿名的資安專家指出,鑒於銀行資安系統不同,這次中信銀案例比較不會像券商一樣會有其他銀行集體「中獎」。
中國信託薪轉戶29日傳出集體遭盜刷的事件,中信銀回應,該案疑為不法人士隨機惡意測試客戶卡號等資料在網站冒用交易,目前已經刷退並協助客戶更新換卡,客戶沒有財務損失。據了解,其他銀行得知此事後,內部都召開緊急會議,檢視相關單位、作業系統。
薪轉戶集體被盜刷,銀行系統發現異常提出警告
上週25日國內發生首宗投資人集體帳號被駭下單事件,凱基、統一、元大、國泰、富邦等五家券商的複委託帳號遭到駭客「撞庫攻擊」,登入後下單買進港股深藍科技。
一位資安專家解釋,「撞庫攻擊」是一種非常低成本的駭客手法,對方可能拿到幾萬筆帳號密碼,不斷測試,例如拿著受害人email前面的字符當成密碼去測試,「撞開」了就贏了,登入帳號後上下其手,不太需要「算力」,即耗費龐大運算能力去「猜」、去「排列組合」,由於低成本,「撞庫攻擊」每天都在發生、全世界到處都在進行著撞庫攻擊。
但這次中信銀事件不同,首先,受害人不是跨銀行、隨機的,都是集中在同一家公司的薪轉戶用戶,其次,如果非人為作業漏洞而是駭客攻擊的話,這次破解信用卡盜刷也許藉助「算力」,例如根據信用卡的卡號固定法則(和身分證號碼相同邏輯),推算出整個卡號,至於卡片背後的三碼,用排列組合測試,俗稱「暴力攻擊」,需要高速電腦。
(更多相關新聞:民航局撤遠航牌照 遭交通部訴願委員會認定「違法」 張綱維搏一線生機)
可能是發卡環結出問題,亦可能駭客用演算法破解
「現在的高速電腦、高速運算晶片成本已經大幅降低,說不定比特幣挖礦機的運算能力足以勝任,透過演算法,連卡片背後的ccv碼都能算出來。」這位專家說,但如果在同一個網站上不斷換卡號排列組合來測試太多次,也會遭到風險系統示警,通知銀行。
也有另位金融資訊專家提出其他觀點說,被害者都集中在一家公司的薪轉戶,「現在台灣的公司雇用員工大部分請員工各自去辦理薪轉戶的金融卡,會有這種集體發金融卡的,比較像是在竹科、中科的外籍勞工統一辦理。」
因此這位專家說「也可能在作業程序中,有些訊息,整批整批的被不經意、不小心,或者有內賊故意洩露出去,使得有心人士有機可乘。」他指出,在盜刷的過程中,有些購物網站其實很鬆散、有些很嚴格,就盜刷成功,有些則可能歹徒測試不同排列組合的時候,被中信銀的風險系統偵測到,發出警報,所以銀行才會發現。