自從政府強制將金融卡由磁條卡升級至晶片卡後,銀行就多了一項Web ATM新業務,民眾只要將讀卡機接上電腦,在鍵盤上輕輕敲打,不到5分鐘就完成轉帳,便利又快速的特性,讓Web ATM使用人數快速成長,然而便利的背後卻藏著可怕的資安危機。
其實,晶片金融卡本身是一張很安全的卡片,資安漏洞是發生在Web ATM機制上,在台灣駭客年會中,倪萬升點出Web ATM的三個弱點,分別是PIN明碼傳輸、驗證PIN碼後可以產生多次TAC、及後台系統沒有提供必要資訊給晶片金融卡作為產生TAC用。
倘若駭客使用Man in the Middle攻擊手法,擋在使用者電腦與銀行後台伺服器的中間,可能就會發生竄改轉帳資料的事情。舉例來說,如果使用者的電腦中了木馬,當使用者輸入交易資料後(假設為Data A),木馬程式自動更改部份資訊(如:轉帳帳號)變成Data B,傳輸到晶片金融卡,據此產生出TAC-B,接著Data A與TAC-B一起傳輸到駭客的電腦,駭客再將資料修正為Data B,然後將Data B及TAC-B傳輸到銀行後台伺服器進行驗證,當驗證通過時,系統就會將錢轉到另外一個帳戶。
除了改變轉帳金額或轉帳帳號外,攻擊Web ATM的目的還有一個,那就是盜領帳戶存款,不法者只要利用Web ATM漏洞預測Transaction TAC,就有可能在實體ATM領到現金。
在實體ATM提款時,銀行後台系統透過Transaction TAC來驗證晶片金融卡的交易資訊,不法者可以選定特定ATM及攻擊時間,利用Web ATM漏洞預測並計算Transaction TAC資料,接著再持假的晶片金融卡,在事先選定的時段、至事先選定的ATM,就可以領到現金。
雖然,目前尚未爆發此類安全事件,但仍希望銀行高層正視資安問題,不要等到事情發生了再來想辦法解決,對資訊安全防護來說,事前的預防比任何事後補救都來得有用。