政風宣導詳細內容

【資通安全】網路駭客在臺碰壁─第一銀行遭詐領案

2017-11-06 輔導室

網路駭客在臺碰壁─
第一銀行遭詐領案
■ 法務部調查局 張家豪

105 年7 月11 日(週一)上班後,第一銀行發現該銀行ATM 遭詐領共達新臺幣八千多萬元,經各分行通報清查後發現,7 月9 日及10 日,全臺各地共有22 家分行41 台ATM 遭到詐領,ATM 從吐鈔口接連吐出一疊疊厚鈔,沒有輸入任何密碼,也不需提款卡,甚至不用接觸ATM 就能領錢,彷彿像電影情節一般,ATM 成了一台源源不絕任意吐鈔的機器。此案為臺灣史上ATM 遭駭客入侵盜領首例,第一銀行隨即向平日保持聯繫的調查局新北市調查處報案,新北市調查處報請臺北地檢署指揮偵辦,之後才向警方備案,由調查局負責解析駭客犯罪手法,找到遠端遙控的惡意程式及可能的入侵路徑及來源,警方則負責查緝涉案車手及洗錢的犯罪分子,調查局及警方分進合擊,不眠不休地進行蒐查,分別扮演不同的角色分工合作,拼湊這起臺灣史上頭一遭沒有提款卡也能詐領大量現金的犯罪案件全貌。

追查可能入侵來源
案發隔天,調查局資安鑑識實驗室人員隨即前往第一銀行總部,並向總行資訊處調取相關電腦軌跡檔(log 檔),該銀行也將發生金額短少的41 台ATM 設備,陸續送到調查局的資安鑑識實驗室進行鑑識,希望能夠找到任何蛛絲馬跡,還原駭客可能的入侵路徑。調查局資安鑑識團隊從第一銀行提供的電磁紀錄及設備中,找出3 支惡意程式及1 個執行批次檔,經分析惡意程式及批次檔發現:其中「cnginfo.exe」程式主要用來取得ATM 相關訊息,包括ATM 系統及吐鈔夾資訊,並可以測試開啟吐鈔開關夾;「cngdisp.exe」程式及「cngdisp_new.exe」主要的功能就是操作ATM 吐鈔程式,帶入參數後,可以選擇吐鈔的卡夾槽及吐鈔張數,執行該惡意程式後,就可以吐出鈔票;「cleanup.bat」程式則是一個批次檔的執行程式,透過執行微軟刪除功能的程式
「sdelete.exe」, 清除顯示ATM 相關資訊的「cnginfo.exe」和控制ATM 吐鈔功能的「cngdisp.exe」及「cngdisp_new.exe」,試圖抹除犯罪軌跡及相關資料。
調查局資安鑑識人員發現上述惡意程式後, 更進一步發現在7 月9 日至11 日ATM 遭詐領期間,ATM 主機有來自一銀倫敦分行電話錄音伺服器的異常連線,但由於倫敦分行並沒有ATM,理應不該出現這樣的連線紀錄,因此研判駭客極可能透過駭入倫敦分行電話主機,並藉其滲透進銀行內部網路取得網路管理權限,再藉由內部ATM 派送主機提供ATM 更新程式時,將含惡意程式的更新包發送到各ATM,藉此打開ATM 遠端連線及控制ATM 吐鈔。
還原駭客入侵犯罪手法
105 年7 月9 日至10 日,駭客集團內多名在臺車手貝某、柏某等人,陸續至第一銀行各分行受駭ATM 前等候,並藉由犯罪集團之駭客操控該銀行ATM 使其自動吐鈔,順利取走鈔票後,再將不法所得交由安某等人進行移轉及寄藏,並指派集團內其餘人員負責後續接應及處理。
雖然第一銀行在7 月遭駭客集團詐領,但此集團早在5 月就已設法入侵該銀行內部網路,搜尋可能漏洞,控制其倫敦分行錄音主機,並且使用海外IP 與該錄音主機建立異常連線,以非法手段取得網路管理者權限之帳號密碼,瀏覽存取該銀行內部網路伺服器及員工個人電腦等資訊,藉以掌握該銀行內部訊息,逐步蒐集犯案所需資訊,並成功盜取該銀行ATM 更新程式的派送系統管理者權限,駭客取得派送系統的管理者權限,無疑是將ATM 的大門打開,可以輕鬆地將遠端連線及吐鈔等惡意程式,透過派送系統植入各分行ATM。
犯罪集團取得派送系統的權限後,陸續將犯案所需之工具程式偽裝成第一銀行ATM 更新程式的檔案,再利用先前取得之管理者帳號密碼,將遠端連線服務、吐鈔程式及執行批次檔等派送至部分ATM,直到7 月開始密集派送至各ATM,藉以開啟遠端連線服務,並選在假日期間,安排車手到各分行ATM 等待,犯罪集團之駭客遠端執行吐鈔程式後,由車手順利將鈔票取出。

駭客集團詐領犯罪手法與過程(參考下圖)

警方追查車手及贓款流向
在調查局追查駭客犯罪手法及入侵來源的同時,警方也透過調閱第一銀行遭駭ATM 的相關監視器,對於領款之車手進行地毯式的搜索,惟13 名執行領款的車手在案發後已紛紛離境,但警方發現2 名車手貝某及柏某在離開前,將房間交給1 名拉脫維亞籍男子安某,警方隨即掌握該名嫌犯並公布其長相,研判安某來臺目的應該是為了處理後續贓款。安某在發現自己身分曝光後,馬上離開臺北並逃往宜蘭,但在17 日被眼尖的員警認出,經通報當地派出所支援將安某逮捕到案,安某表示是遭到俄羅斯黑手黨威脅與利誘,才參與本次犯罪活動,並依其供詞順利在臺北市大直維多利亞酒店逮獲另2 名羅馬

參考檔案: