歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
由金融卡盜領事件看金融體系的安控管理
2003 / 11 / 05
羅儀萍
犯罪手法
這起事件顯示金融單位的安全管理已亮起紅燈,讓有心人士可大鑽漏洞;根據警調單位的蒐證結果研判,歹徒的犯罪手法可能如下:首先在無人銀行的門禁系統上裝設側錄器,利用提款人刷卡進入無人銀行時,取得磁條內碼資料,接下來將針孔攝影機安裝在自動櫃員機(ATM)上,歹徒便趁提款人領款時,躲在不遠處拍攝提款畫面以盜錄密碼,如此便成功取得金融卡資料和密碼,之後只要利用一張空白磁條卡,即可複製成以假亂真的金融卡,再利用ATM完成天衣無縫的盜領行動;目前估計有9家金融單位、遍及14個縣市的存款戶遭波及,其牽連之廣也是國內罕見。 小小一台側錄機或是一具針孔攝影機就能視金融單位的安全防護如無物,簡直匪夷所思;然而以這起事件來看,包括臺灣銀行、土地銀行以及合作金庫的ATM或無人銀行門禁都查出被安裝側錄裝置,這些裝置是科技犯罪的一種手法,要能防範就必須了解其應用原理。
針孔攝影機
一般針孔攝影機只是前端鏡頭較小,後面還有一片5~10平方釐米的電路板,負責傳送電波及補充電源;安裝於ATM的針孔攝影機通常選用乾電池供電,而裝置完成後,接收者只要在50~100米的地方,拿著接收器就可以接收到清晰畫面。 針孔攝影機可謂無孔不入,且朝越來越精巧的方向發展,不僅能偽裝成螺絲釘,也可隱身於牆壁上,如安裝於ATM,一般民眾很難察覺,因此成為防護漏洞。
側錄器
側錄器被安裝在無人銀行的門禁裝置上,就可錄製讀卡機所讀取磁條卡上的資料;若是安裝在ATM上,提款密碼也無一倖免;此外還有利用錄音方式辨別按鍵密碼,由於提款機的按鍵從1到9的聲音都不同,因此有心人士就可利用這個原理,記錄按鍵音再轉成密碼。
防範方式
事實上,金融卡資料外洩是導致盜領事件一發不可收拾的主因,由於這些被盜錄資料的金融卡都是磁條式卡片,其防偽機制不足以應付犯罪集團日益翻新的技術,因此一直存在著被複製、偽造的隱憂。
有鑒於此,財政部金融局也宣佈磁條式金融卡將提前5年、在2004年6月底全部停止使用,全面改採晶片卡,而ATM安裝讀晶片卡的功能也將提前1年、到2004年6月完成。
晶片卡成為金融防盜的新希望,也使得磁條式金融卡將遁入歷史;然而晶片卡安全性有多高?由於晶片卡的容量約為磁條卡的160倍,還具備CPU運算功能,當系統欲讀取卡上的資料時,晶片就會進行認證與檢核動作,可降低資料外洩與盜錄情況,也因此財政部才緊急要求全面換發晶片卡。
至於要解決詐騙集團用於盜錄金融卡資料的道具針孔攝影機及側錄器也不難,目前市面上亦有相關產品推出;如針孔干擾器即是防範針孔攝影機的最佳產品,一般針孔攝影機採用0.9 GHz~2.4GHz的頻率,針孔干擾器可干擾這些頻率、亦可有效偵測出攝影機的藏匿位置。
另外無人銀行門禁系統被安裝側錄器一事,目前銀行的因應措施是全面撤掉門禁系統,以解決各方爭議,不過此法是否因噎廢食,也是金融單位亟需思考的議題;目前有廠商針對門禁遭側錄問題而研發反側錄裝置,期望能提供金融單位多一項安全防護選擇。
警覺心重於科技防護
比起信用卡犯罪,金融卡盜領的金額少得多,不僅因其有地域性限制,也有提款金額的限制,此外各個ATM或無人銀行多有安裝監視器,歹徒作案時,很容易在攝影機前現形;然而雙十國慶的金融卡盜領風波,真正令警調單位手足無措的不是歹徒的高科技犯罪手法,而是幾家金融單位對安全防護的等閒視之,成為助長犯罪集團氣焰的幫兇。
警調單位甚至在ATM攝影機拍攝的畫面中,發現歹徒裝置側錄系統和針孔設備的動作已被清楚攝錄下來,然而金融單位卻缺乏警覺性,讓歹徒作案得逞,暴露出銀行安全管理的危機。
目前財政部除強制規定金融機構需保留二個月的錄影畫面,並強調將不定期抽查錄影資料,以測驗金融單位的執行效率;然而僅錄製畫面卻不派專人監視影像,無法有效根治問題,銀行單位需多加考量。
此外,本次事件再次突顯銀行體系中人頭帳戶的嚴重問題,目前司法警調單位提議要以按指紋方式開戶,但因涉人權等問題,此提議未能定案;財政部則已初步決定,自2004年元旦開始,到銀行開戶先拍張數位相片存檔,除可降低人頭戶擔任人頭的意願,必要時還可成為檢調偵辦金融犯罪的線索。不過有銀行單位卻認為,新開戶拍照亦涉及隱私權等相關問題,因此新的政策必須能兼顧隱私權與打擊人頭戶,才能達到真正效果。
要徹底防堵金融漏洞,運用各種高科技手法是不夠的;如本次事件中,金融單位也有安裝監視設備,但因平常疏於監看,而釀成盜領風波;因此,對金融單位而言,真正需要的是保持高度警覺心,一旦發現不對勁,才能隨時做出反應。
最新活動
2025.05.23
2025 雲端資安趨勢論壇
2025.04.30
免費【資安人才培育計畫說明講座】 資安顧問師 與 資安維運工程師 的職能發展與養成
2025.05.14
OpenText+精誠資訊【AI x DevOps打造高效敏捷團隊,提升軟體交付速度!|成功企業案例分享】
2025.05.16
資安媒合交流系列活動
看更多活動
大家都在看
MITRE ATT&CK 發布17.0版,新增 ESXi 攻擊戰術技術與程序
SSL.com 驗證漏洞:攻擊者可輕易取得重要網域憑證
國家級駭客瞄準中小企業 供應鏈成新戰場
中國駭客組織 Billbug瞄準東南亞:全新工具發動精密網路間諜戰
新型Android惡意程式 使用NFC中繼攻擊竊取信用卡資料
資安人科技網
文章推薦
Sophos:「數位殘餘」讓企業暴露於網路邊緣設備攻擊風險中
SAP NetWeaver關鍵漏洞遭駭客利用植入惡意網頁命令執行介面
資安格局重塑:Mandiant 揭露2025年五大關鍵網路威脅