[新聞] 網路ATM若遇駭 3秒盜走10萬

nomoan01

轉載於：聯合新聞網 http://udn.com/NEWS/NATIONAL/NATS4/2956122.shtml

網路銀行ＡＴＭ安全機制出現重大漏洞！銀行強調已新增「動態驗證碼」機制加強安全措施，但仍要呼籲消費者使用網路ＡＴＭ後，馬上將晶片金融卡從讀卡機取下，以免駭客有機可乘。

據指出，銀行公會及資訊業者的網路安全專家做測試發現，在網路ＡＴＭ用戶的個人電腦植入木馬程式，不須複製晶片金融卡，只要下一個指令就可破解網路ＡＴＭ安全機制，三秒內將網路ＡＴＭ用戶一天最高轉款限額十萬元轉出，完成「假交易」，且整個過程不會出現任何異常訊息，用戶及銀行都不會知道被盜領。

據了解，晶片金融卡不能被複製，但消費者使用的第一代晶片讀卡機，必須在電腦鍵盤上輸入晶片卡密碼，駭客一入侵電腦就可取得密碼，形同拿到金庫鑰匙。

雖然警方表示尚未接獲網路ＡＴＭ遭盜領的報案，但網路安全專家擔心，目前至少有廿四家銀行推出網路ＡＴＭ，平均每個月交易筆數達四十多萬筆，而大多數客戶都是使用第一代晶片讀卡機，約有四、五十萬台，猶如一顆顆不定時炸彈。

依銀行作業規定，使用網路ＡＴＭ必須同時使用晶片金融卡及晶片讀卡機，用戶轉帳，要在個人電腦及網路上操作，而網路上木馬程式無所不在，個人電腦有被駭客入侵的潛在危險性，連帶讓網路ＡＴＭ曝露在高度風險中。

網路安全專家說，雖然晶片金融卡的設計是安全的，至今不能被複製，但將ＡＴＭ搬到網際網路上執行是不安全的：在網路上操作ＡＴＭ，只要晶片金融卡插在讀卡機上，門戶就洞開，一旦使用者的個人電腦被木馬程式侵入，透過鍵盤側錄到晶片金融卡密碼，駭客就可入侵搬走任何東西。

警方表示，目前網路上出現多支「可側錄金融卡密碼」的木馬程式，包括今年五月被偵破的駭客陳南宏自寫的「ＳＭＡＲＴ」木馬程式。這些木馬程式網路上唾手可得，專責偵辦網路犯罪的刑事局偵九隊人員擔心被「有心人士」下載來犯案，製造金融風暴。

第二代、也就是新一代的晶片讀卡機已有螢幕及密碼鍵盤，消費者使用網路ＡＴＭ的各項功能時，不必在電腦鍵盤上輸入晶片卡密碼，而是直接由讀卡機上面的鍵盤輸入，降低被駭風險。

新一代讀卡機價格約五、六百元，較第一代讀卡機（沒有螢幕及密碼鍵盤）貴一倍左右。目前大多數網路ＡＴＭ使用者用的是第一代讀卡機，已有部分網路銀行「提醒」客戶購買具有鍵盤、螢幕及密碼、轉帳金額確認鍵的新一代晶片讀卡機，各銀行也已新增「驗證碼」機制來防患未然。

此外，也有銀行的網路ＡＴＭ不由電腦鍵盤輸入密碼，而是以滑鼠在「螢幕動態鍵盤」點選密碼，由於電腦螢幕上的鍵盤數字每次出現的位置都不同，也可有效防杜木馬程式側錄到晶片卡密碼。

-----------------------------------------------------------------------------------------------------
看來之前買的IBM讀卡機是不是要考慮換掉了

Hamar

......此外，也有銀行的網路ＡＴＭ不由電腦鍵盤輸入密碼，而是以滑鼠在「螢幕動態鍵盤」點選密碼，由於電腦螢幕上的鍵盤數字每次出現的位置都不同，也可有效防杜木馬程式側錄到晶片卡密碼。

剛剛才在網路ATM轉帳，發現台北富邦銀行就是用這種方式防止木馬側錄，
所以......我還是繼續使用IBM晶片卡讀卡機吧，
畢竟那種有螢幕、密碼鍵盤的新一代晶片讀卡機體積都太大了。

eric0706

富邦的還不夠好,他的數字位置是固定的.
我用過中國信託和聯邦都是動態產生數字表.
這種應該更安全吧?!

AbinLee

危言聳聽....

拿到金融卡密碼有什麼用，要拿到卡片才有用
交易資料是用卡片上的金鑰加密的，密碼只是卡片做身份認證的，拿到密碼沒有卡片還是沒有用...

卡片又不能複製，再怎麼厲害拿到個人密碼能夠怎樣？
又在唯恐天下不亂了...

aksx

到底蘋果電腦的可不可以用啊？

ZZR

創造二代讀卡機的商機?
不過說真的, 養成使用完畢立即抽卡的習慣還是比較保險吧...

[ Last edited by ZZR on 2005-10-17 at 10:09 ]

eric0706

蘋果電腦不能用.....
有支援蘋果的讀卡機嗎?
就算有,網路銀行程式都是IE only的... ORZ....

ajackliukimo

唉..
台灣的記者又亂寫
密碼檢核是在晶片裏面
光有密碼沒晶片怎麼驗證密碼是否正確?

jerichu

Originally posted by eric0706 at 2005-10-17 09:59:
富邦的還不夠好,他的數字位置是固定的.
我用過中國信託和聯邦都是動態產生數字表.
這種應該更安全吧?!

不好意思,中國信託有網路ATM嗎?
我一直找不到網頁?
能否告知,謝謝.

MaxMao

Originally posted by jerichu at 2005-10-17 11:59:


不好意思,中國信託有網路ATM嗎?
我一直找不到網頁?
能否告知,謝謝.

中國信託好像只有一般的網路銀行...

icomtn

Originally posted by jerichu at 2005-10-17 11:59 AM:


不好意思,中國信託有網路ATM嗎?
我一直找不到網頁?
能否告知,謝謝.

沒有...我想是因為他砸了那麼多實體ATM 在7~11 上吧.或許被約制住吧.
華銀的OTC 還不錯用.不知道二代讀卡機是不是就是指那一種.大小跟名片型
計算機差不多.晶片卡插上去輸入PIN碼後會產生一組動態密碼.完全不接電腦.

新竹商銀的密碼保鏢不建議用,我還沒開使用他就掛兩次了@@懶得在去跑銀行了.

Hamar

Originally posted by eric0706 at 2005-10-17 09:59 AM:
富邦的還不夠好,他的數字位置是固定的.
我用過中國信託和聯邦都是動態產生數字表.
這種應該更安全吧?!

富邦的網路ATM也是動態產生數字表吧，
上午用過兩次，數字鍵的位置都不一樣，
應該不是我眼花吧！B)

longteh

到底有沒有被害實例,被轉走的人真的是用一般匯款方式,還是網路銀行被入侵!

ysj

對了，如果是在記事上寫好密碼，再剪下，貼上，是否就不會被側錄了？

[ Last edited by ysj on 2005-10-17 at 14:59 ]

mmhent

最好還是這樣用
1. 動態輸入數字
2. 使用滑鼠在螢幕上點選而不要使用鍵盤輸入
3. 使用完就拔卡
這樣應該安全沒問題吧!?

y001

1.如果你是使用第一代的讀卡機,作完交易一定要拔卡

2.如果你用的是第二代讀卡機(上面有lcd和鍵盤)的,則作完交易可以不用拔卡

3.真正安全的web ATM配合第二代讀卡機使用時,所有的資料確認(轉帳帳號,密碼等資料)都是在讀卡機上面作的,目前全國好像只有合作金庫是這樣作的.其他銀行的WEB ATM還是把第二代的讀卡機當作單純的讀卡機在用..一點意義都沒有

4.其實動態密碼輸入只是安全機制的其中一種方法,其他還有光學驗證碼,和移動的確認鍵(國泰世華)都是可以運用的方式. 因為當初銀行公會及財金公司,要求各家銀行在WEB ATM在客戶進行交易時,除鍵盤輸入外要有和客戶進行互動的行為,因為才會有許多螢幕點選的方式出現.

5.要說什麼WEB ATM最安全,越新的WEB ATM越安全!!!因為新的WEB ATM會針對新的PHISHING(網路釣魚)行為有較有效的阻絶作用(還是沒辦法100%).

6.所以切記  做完交易一定要拔卡,如果您使用第二代晶片卡讀卡機的話,你上合庫WEB ATM最能發揮他的效用,也較為安全



個人意見  僅供大家參考

[ Last edited by y001 on 2005-10-17 at 17:26 ]

102373

建議還是使用完馬上拔卡片

滑鼠點選的虛擬鍵盤還是有辦法破解
網路著名遊戲[天堂]，也是使用虛擬鍵盤來達到防駭的目的
結果大陸人士依舊繼續盜，天外有天阿！
所以還是卡片放皮包～收好囉

baijee

不管一二代，用完拔卡算是一種好習慣吧。

他所謂的被駭，應該是拿到密碼後，就類似遠端操作一樣直接利用該使用者的電腦為跳板操作網路銀行轉帳，因為網路銀行Server會誤認為和卡主的電腦交易(電腦開著+讀卡機未拔卡+拿到卡主的密碼)，所以不會有破解金鑰的問題。

前幾天看的報導是說，已知有人因此被駭，但尚未接到報案…

我所知道的是現在有銀行推出一種實體亂數密碼產生器，插在USB上的。插上去後會亂數跳一組密碼在機身的LCD螢幕上，該組密碼也會跟網路銀行同步。而該密碼是屬可拋式的，第二次使用網路銀行，得再重新亂數拿一組密碼。

priscilla

合作金庫的網路ATM
要每一次轉帳之前還會要求你再做一次拔卡加插卡的動作
另外還要再輸入一次密碼
我覺得這樣也滿安全的