國內史上首例!跨國犯罪集團在未操作ATM情況下,第一銀行 ATM 狂吐鈔盜領七千萬台幣
第一銀行凌晨表示,旗下部分分行ATM機器遭到異常盜領的現象。時間集中在7/9與7/10之間,最詭異的是,歹徒在沒有操作ATM的狀況下,直接走到ATM前面讓ATM大量吐鈔領款,情節有如魔術一般。
根據蘋果日報的報導,一銀共有20家分行、34台ATM發生這樣的異常狀況,歹徒戴有帽子與口罩無法辨識身份,作案過程約5到十分鐘,都是走到ATM前面直接讓ATM大量吐鈔,然後將現金裝入背包離開。
初步瞭解,這些ATM均屬於德利多富(Wincor)公司之同一款機型提款機,懷疑可能已經遭到植入惡意程式驅動吐鈔模組。目前該款機型ATM已經全面暫停運作,等待調查結果。
一銀副總經理葉仲惠表示,目前所知包括台北市、台中市有34台ATM遭到破解,遭盜領金額超過7000萬元,由於遭盜領之ATM皆非透過一銀本行的帳務系統取款,因此並不影響任何客戶存款,客戶權益完全受到保障,且本案因與帳務及帳戶無涉,故與「無卡提款」完全無關。短期間造成客戶領款不便,也請客戶見諒,將盡速查明原因後,恢復正常運作。
一銀表示,能不經由銀行主機控制個別ATM的人,只有銀行行員、負責補鈔的保全人員及系統維護人員,此案很有可能有內賊配合。目前警方調閱相關監視器,查出涉案者在週一已經離境。其中有三人作案,其中兩人提款,一人為車手。其中兩人為俄羅斯人,一人身份不明。
一銀盜領案 警:ATM未插卡不斷吐鈔
第一銀行旗下分行ATM(自動櫃員機)遭植入惡意程式,盜領新台幣7000多萬元。台北市大安警分局今天表示,提款者未插卡或以其他不當、非法方式接觸ATM,機器就不斷吐鈔。
台北市政府警察局大安分局表示,10日夜間接獲110通報,第一商業銀行股份有限公司古亭分行ATM疑有民眾提款忘記取走,遺留現場。經轄區和平東路派出所警員到場,發現其中一台ATM吐鈔口遺留有現鈔6萬元。
警員立即聯繫分行輪值人員並請配合到場檢視提款機狀況,分行輪值人員表示,提領紀錄與影像,須待上班時段才能提供。
大安分局說,警員11日洽詢第一銀行古亭分行副理,分行回覆,兩台ATM出鈔紀錄顯示10日總計遭取走600餘萬元。
經銀行內部查處發現,兩名提款者未插卡或以其他不當、非法方式接觸ATM,機器就不斷吐鈔,且未發出警報,調閱主機紀錄僅顯示「cash error」故障訊號,目前計有萬華區、中正區及汐止區等10餘處ATM有類似狀況,另查各處遭取走現金的ATM機型都是同型機種,將由總行調查釐清後,再統一報案處理。
大安分局獲案後,立即與刑警大隊偵一隊、資訊室共組專案小組,已查明其中一名外籍犯嫌疑為俄羅斯籍,經調閱監視器發現,兩名外籍犯嫌8日自桃園國際機場租自小客車,11日上午6時30分還車,並於當天上午7時9分出關搭機離境。
大安分局說,目前調閱監視器釐清同夥身分,並函請內政部移民署提供同行艙單人員資料,同步向地方法院檢察署報請指揮偵辦,及協請內政部警政署刑事警察局國際刑警科協助偵辦,共同查緝。
這個白帽駭客曾在眾人面前示範如何入侵讓 ATM 吐鈔,當初他用了哪些方法?
一銀發生了國內史上首件透過侵入方式讓ATM吐鈔的犯罪案,引起大眾普遍的關注。也讓人再度質疑ATM的安全性問題,既然有大筆的鈔票存放在提款機裡頭,ATM的安全性對大多數的人來說都直覺認為是很安全的,不過看在安全專家的眼裡,可能還是有許多漏洞可以攻擊。
講到對銀行ATM的攻擊事件,業界最有名的就是白帽駭客 Barnaby Jack ,他在2010年就曾經在世界黑帽技術大會上,向公眾展示了他如何利用兩種不同的技術,駭入ATM提款機讓提款機吐鈔。
Barnaby Jack 一生(對,他已經於2013年7月於家中死亡,報導稱死因為吸毒過量,但這一點又引發了部分陰謀論的說法,在此不多做討論)致力於發現各種公司產品的安全漏洞。他於 1978 年出生,紐西蘭人,生前最後一份工作是西雅圖安全評估公司IOAcitve的嵌入式裝置安全主管。
- 他早在2000年之前,就已經在業界知名的《 Phrack 》雜誌發表過多篇文章,其中包括《 Win 32 Buffer Overflows (Location, Exploitation and Prevention) 》以及《 Remote Windows Kernel Exploitation Stepinto the Ring 0 》,都是當時研究 Windows 核心漏洞必讀的文章。
- 2010 年的 Black Hat 大會才算是讓他揚名世界,他利用 自己命名為「 Jackpotting 」的技術,讓兩台不同系統的ATM提款機,自動吐出鈔票。據他說早在 2009 年他就想要展示這一技術,但迫於一些 ATM 提款機廠商的壓力,才延了一年發表。
- 2012年,他在 McAfee 的工作期間,駭入 Medtronic 的胰島素注射機,他可以遠端遙控數種這家公司生產的胰島素注射機,甚至可以控制其中一些裝置,忽略安全警告並操縱注射劑量。
- 2013年,他成功駭掉多家廠商生產的心律調節器,只需在十二公尺內配合一台筆電,就能讓它放出830V的電壓,直接致人死地。Jack當時表示,心律調節器本身是有無線接收裝置的,可以調節它們的工作模式,正是這個無線遙控裝置裡存有漏洞,讓駭客有機可趁。
回過頭來看看,當初 Barnaby Jack於2010年在Black Hat 大會上,當時他在演講中表示:「我總是很喜歡魔鬼終結者第二集裡的一個場景,就是John Connor走向一台自動櫃員機(ATM),把他的Atari接上讀卡機,然後從ATM裡領走現金。」
在那次的示範中,他示範了如何對兩台新型ATM發動本機端(local)以及遠端(remote)的攻擊,並揭露一種在ATM上運作、可搭配不同作業系統執行的rootkit。
一直到現在,最普遍的ATM提款機駭客用到的方式是在卡片的刷卡處採用一個側錄裝置,可以記錄刷卡人的卡片資訊,讓駭客可以利用這個資訊去盜領金錢。不過Barnaby Jack用的方法則是利用漏洞來入侵。
Barnaby Jack當時示範的兩款提款機都是Windows CE的系統,他發現Tranax Technologies廠商所製造的提款機有遠端存取漏洞,可以直接利用遠端來攻擊漏洞植入Rootkit程式,然後下令吐鈔。
另外一款Triton所製造的提款機則對於網路的保護相當安全,不過卻因為這款機器卻敗在它的硬體設計上。用來控制吐鈔的主機板模組僅透過一個外蓋來保護,而這個外蓋上的鑰匙則相當普通,他在網路上以10美元的代價買了鑰匙,開啟外蓋,直接用USB隨身碟插入密碼植入惡意程式。
後來又有哪些方法?
駭客一直對於ATM提款機入侵的方法有極大的興趣,畢竟這種方法不會有生命危險又可以取得大筆的金錢,因此,駭客這幾年來的技術也一直不斷發展。
其中,來自東歐的駭客更是其中的佼佼者。他們曾經使用了自製的銀行木馬Carbero來入侵俄羅斯央行的系統並且竊取帳戶,有部分成員在2012年被捕。近年來則改用先利用網路釣魚、惡意軟體入侵銀行內部系統之後從ATM取款的方式,襲擊了超過50加以上的俄羅斯銀行。甚至會在被入侵的系統中的惡意軟體中留下嘲笑銀行安全系統的訊息。
而在今年二月,ATM製造商NCR也曾經發佈過他們新的犯罪手法,表示他們發現有歹徒在ATM機器上插入外接裝置,透過ATM的電話或是網路線,可以來攔截受害者的提款機或是信用卡資料。
第一銀行ATM疑遭植入惡意程式盜領7000餘萬元,全台400多台ATM停用
第一銀行上周末發生ATM盜領案,該行所使用的特定ATM機種疑似遭到植入惡意程式,經估計遭盜領7000餘萬元,目前已向警方報案,並向調查局備案,詳細盜領手法還有待後續調查釐清。
第一銀行的初步調查,歹徒是在7月9日、10日兩天密集盜領,共在20家分行共34台ATM盜領,由於其中一家分行在連假上班後,發現ATM鈔箱異常,調閱監視器影像後,發現兩名不明人士帶帽子、口罩,在沒有任何ATM操作下,直接讓ATM吐鈔,以背包裝袋後離開,作案過程5到10分鐘。第一銀行隨即展開全面清查,並向金管會通報。
第一銀行發言人葉仲惠表示,初步調查歹徒可能植入惡意程式以驅動ATM吐鈔模組吐鈔,由於是在機台直接進行吐鈔,沒有連接到系統,與後端帳務、帳戶沒有連接,因此第一時間系統沒有監控到ATM異常提領。一般銀行在周末沒有營業,為應付民眾周末的提款需求,周末前大多會為ATM預先補鈔,使這次ATM被盜領大筆金額。
目前全案已由警方進行調查,國內媒體報導警方已追查出盜領者身份為俄羅斯人,在成功盜領得手後,昨天已離境。
一銀使用德利多富的ATM已有十多年,不只第一銀行使用,據瞭解其他銀行也有使用,在一銀ATM遭盜領後,用相同機型的台灣銀行也宣佈停用90多台ATM,待清查後恢復服務。
免卡盜領ATM 可能就是這隻病毒?
傳出這起犯罪事件,可能是「遭植入惡意程式驅動吐鈔模組執行吐鈔」,而其實早在2014年,防毒軟體公司卡巴斯基實驗室(Kaspersky)就協助金融組織,調查一起針對全球不同ATM的網路攻擊。
結果發現,犯罪份子使用惡意軟體Backdoor.MSIL.Tyupkin感染並操控ATM機器,使它不用插入金融卡就可吐鈔,將ATM內的現金洗劫一空,竊取金額已高達數百萬美元。
卡巴斯基實驗室在調查多宗針對東歐ATM發動的攻擊展開調查時,發表一種名為Tyupkin的新型惡意程式,駭客可藉Tyupkin在遭受感染的ATM上隨意提取現金。
卡巴斯基也在2014年10月在YouTube上貼出「卡巴斯基調查:Tyupkin惡意軟體讓ATM瘋狂吐鈔」影片,影片中可以看到透過病毒控制ATM,不用插入金融卡就可吐鈔。
第一銀行遭盜7000萬 嫌犯疑有2名俄羅斯人
第一銀行ATM提款機在9日、10日遭人盜領7000多萬元,一銀並在發現後報案,警方查辦發現嫌犯有2名可能為俄羅斯人,且已於犯案後出境。因嫌犯非本國籍人,警方目前已經要求刑事局國際刑警科介入調查。目前警方仍在調查、比對出境資料,追查仍在國內的第3名嫌犯。
本案遭盜領金額共計約7000餘萬元,20家一銀分行共34台ATM發生異常。一銀的其中1家分行在12日上班後,發現ATM鈔箱異常,經調閱監視影像,發現2名不明人士戴帽子和口罩,在完全無操作ATM的情形下,直接讓ATM吐鈔後大量提領,並立即將現金裝入背包離開,作案過程約5到10分鐘,交易皆集中在周末的9日和10日。一銀已全面清查銀行ATM,初步瞭解可能遭植入惡意程式驅動吐鈔模組執行吐鈔。由於盜領的ATM機型皆屬德利多富(Wincor)公司的同款機型,目前該機型已全面暫停服務。
ATM系統遭植入惡意程式 不排除有內鬼協助犯案
對此刑事局表示,因作案地點多在北部、中部,刑事局已向一銀調閱台北、台中銀行監視器畫面;而根據銀行方表示,能夠接觸到ATM鈔箱部分的只有銀行行員、負責補鈔的保全人員及系統維護人員資料,因此警方也已向一銀調閱相關人員資料。
警方目前初判一銀的ATM遭植入惡意程式,才會自動吐鈔,除了從系統漏洞著手調查外,也不排除有內鬼協助犯案;刑事局國際刑警科則表示,初步查出涉案的3名嫌犯中,有2名是俄羅斯人,並證實嫌犯是於9日入境,11日出境。由於羅馬尼亞曾破獲類似犯罪集團,懷疑可能是國際犯罪集團瞄準台灣犯案,目前仍在釐清本案相關細節。
第一銀行:並不影響任何客戶存款
一銀在12日早上發布新聞稿,表示遭盜領ATM皆非透過一銀帳務系統取款,因此並不影響任何客戶存款,客戶權益完全受到保障,且本案因與帳務、帳戶無涉,故與「無卡提款」完全無關。目前部分ATM無法順利操作,一銀表示將儘速查明本案,恢復ATM運作。
嫌犯樣貌曝光!俄羅斯3嫌機場櫃台租車 民眾記車號報警
第一銀行驚爆ATM遭駭盜領案,警方經調查後,目前已鎖定1名俄羅斯籍男子涉有重嫌,此名男子和其他至少1名同夥於8日入境台灣後,在機場租車,10日犯案後,於昨天(11日)潛逃出境。
據警方表示,10日晚間接獲報案指出,民眾在第一銀行古亭分行ATM中發現疑似有人「提款忘記取走」,現場遺留有6萬元現金。當下懷疑是詐騙集團車手立刻報警,但是僅記下車號,仍讓2嫌逃逸。
員警到場後,立刻聯繫該分行輪值人員,並請配合至現場檢視提款機狀況,然而該分行輪值人員卻表示監視器影像須等到上班時段,才能提供。然而隔天銀行經調查,卻發現事情大條,2名提款者並未插卡或以其他不當、非法方式接觸ATM,機器就不斷吐出鈔票,且未發出警報。目前共計有萬華區、中正區及汐止區等10餘處ATM有類似狀況,一銀隨即報警處理。
警方獲案後組成專案小組,目前已查明其中1名俄羅斯籍的犯嫌身分,經調閱監視器後,發現該名俄籍犯嫌於8日自桃園中正機場租賃自小客車,11日上午6點30分還車,並已於當日上午7點9分出關、搭機離境。
警方將持續調閱監視器畫面,釐清該男子的同夥身分,並函請移民署提供同行艙單人員資料,並同步向地檢署報請指揮偵辦,及協請刑事局國際刑警科協助偵辦,共同查緝中。
野菜國的ATM這麼容易偷,當然要趕快偷!
接下來還可以去偷山寨國的ATM!
哪有那麼笨的駭客!
