徐旭東遭駭客「搶銀行」? 遠銀的18億竟是被釣魚信件駭走的


遠東集團旗下的遠東銀行10月初一度遭到駭客盜走新台幣18億元,有國外防毒軟體大廠分析,駭客是經由釣魚信件滲透遠銀內部網路。(攝影/蕭芃凱)

­遠東銀行10月初遭到駭客入侵,駭客以匯款方式一度盜走6000萬美元(約新台幣18億元),刑事局目前已派員前往斯里蘭卡進行調查,而遠銀雖宣稱最大損失可望控制在50萬美元(約新台幣1500萬元)以下,但整起事件仍震驚全台,也引起資安圈廣泛討論,有資安專家不諱言,駭客手法愈來愈高明,也讓人預見未來這樣「搶銀行」的事件,恐怕有增無減。

防毒軟體大廠分析:駭客最初從釣魚信件進入

駭客協會日前舉辦資安議題研討會,會中也針對遠銀事件進行談討。根據美國防毒軟體大廠McAfee一篇最新報告指出,駭客的攻擊最早可能是由兩封釣魚信件進來的,而且信件裡頭還夾帶了一個線上的PDF檔案,當受害者點擊連結時,就會被導向一個惡意網站,把惡意軟體下載到受害者的電腦。

McAfee還指出,遠銀內部可能已經有兩組帳號、密碼早就外洩了,並被駭客植入後門程式試圖感染其他電腦。此外,駭客還針對遠銀的內網設計了一個勒索軟體,當駭客入侵到遠銀的內部系統時,就先設法把砍掉遠銀所使用的5至7個防毒軟體的程序。

接著駭客再釋放出真正的勒索軟體,不過McAfee也表示,該勒索軟體其實只是個半成品,也很有可能是「假」的勒索軟體,目的只是用來摧毀與通匯、匯款有關的SWIFT系統,在轉帳過程中的所有證據,並且混淆視聽。

一名與會資安專家分析,這次駭客讓人感到相當「高竿」,就是因為駭客利用組合技,包括釣魚信件、SWIFT攻擊程式和勒索軟體等,讓人以為這只是中了一般的勒索事件,誤導了資安人員在最初的處理方向。據了解,果然遠銀最初的處理方式就是照著處理勒索軟體的SOP來重灌主機,事後來看,因為電腦已經被加密,不僅開不了機,很多證據也都因此不見了。

資安專家建議,管理層面上的落實很重要

「不過如果駭客沒有用這個勒索軟體,這麼急躁地去摧毀證據,許多錢只到中轉銀行還沒到個人戶,就被發現交易有問題,否則損失恐怕會更高,」該資安專家表示。

除此之外,他也認為,台灣在情資交換上的橫向、縱向都非常不足,「看看國外Kaspersky、McAfee都已經有分析報告了,但台灣到目前為止都還沒有一份嚴謹的調查,大家想知道詳情只能東問問、西問問,我們應該主動釋出資訊做為跟國外交換情資的籌碼。」

但嚴格說起來,資安專家指出,銀行本身整體的安全和應用程式的部屬仍必須要全面檢討,銀行應該要設有多層、不同的權限和檢查機制,因為SWIF系統能夠輕易被竄改,代表這絕對不僅是SWIF系統本身的問題。

至於金管會在去年底要求全體銀行的SWIFT系統須做「實體隔離」,遠銀雖然被抓到沒有確實執行。但另一名資安專家也提醒,「實體隔離」並非資安的萬靈丹,因為一旦做實體隔離之後,將會變成有兩套網路,換句話說,管理維運的成本都會變成兩倍以上。