如果你是一銀，防得住駭客嗎？

在2016年7月盛夏過去這2周，恐怕是全臺銀行IT主管們都輾轉難眠的一段時間。因為7月10、11日周末凌晨，第一銀行爆發了臺灣有史以來第一次的大規模ATM遭駭盜領案。案發至今2周了，IT主管們反覆縈繞在心頭的問題是，如果我是一銀，能防得住駭客嗎？

以信任為基礎的銀行，對於資安的投入程度，往往高於其他產業。去年規畫採購新式APT攻擊的產業以金融和政府機關最高，至少2成金融業者要買，近5成臺灣大型金融業者也規畫採購滲透測試服務，來強化網站與系統的安全性。而第一銀行，從過去資安治理推動成果來看，也可說是臺灣銀行界的資安優等生。

一銀是臺灣第一家拿到ISO 27001資安認證的大型銀行、更率先完成ISO/IEC 20000:2005資訊服務管理標準驗證，是第一家同時取得兩項資安治理驗證的銀行。但是，為何資安資優生，卻在這次ATM盜領事件發生之前，一點兒也沒有察覺自家內部網路或主機遭駭呢？

這次遭駭的ATM是推出超過十年的德利多富（Wincor）舊款ATM，型號為Pro Cash 1500，內建的是微軟已經停止支援的Windows XP作業系統，儘管透過特殊合約仍可尋求微軟客制安全更新，不過，只要進入eBay，人人都可以下標買到同款ATM來研究入侵手法，過去向來外人難知的ATM防護機制，在這款機型上一點都不是秘密。根據金管會清查，全臺39家金融機構，連同中華郵政在內，共有2.5萬部ATM，其中約2成，也就是近5千臺都是同一款ATM，一銀手上的4百多臺同款機型只是少數，其他金融機構部署的數量更多。但是，為何只有第一銀行的ATM遭駭？這是另一個眾人想破頭的疑惑。

7月18日，調查局發現，第一銀行倫敦分行內一臺平時深鎖於鐵櫃的電話錄音伺服器，竟然在盜領案發時間，頻繁連線臺灣的ATM主機。進一步追查，證實該分行遭駭，連夜請一銀倫敦分行主管趕回臺灣，同時帶回3顆硬碟，包括遭駭伺服器內的2顆硬碟，和遭入侵PC的硬碟。

隨著入侵端點的發現，木馬程式行為和軌跡的追蹤，調查局逐漸拼出為何只有一銀ATM會遭到駭客控制的關鍵。不是因為ATM被鎖定，而是一銀內網遭駭客潛入，而ATM只是受害的肉票對象而已。

3支金融木馬程式，透過合法的ATM更新派送系統，暗度陳倉穿過內網資安系統的監控，植入了ATM系統中，等到領錢車手就定位，遠端（駭客遠在英國、東歐等都有可能）操控的駭客一舉控制ATM吐鈔，事後還會使用系統內建加密刪除工具，將入侵的作案木馬程式和軌跡都清除。若不是調查局在木馬銷毀失敗的ATM中，發現了木馬程式，進而從其他ATM中反組回遭刪除的程式，才找到破案的關鍵線索。

同樣事件若發生在臺灣其他的銀行，會如一銀這般遭駭？或是能事先察覺及時阻止呢？為了讓IT主管更了解ATM入侵事件的始末，也可供未來規畫預防對策的參考，我們緊急製作了封面故事「一銀ATM遭駭事件大剖析」，特別鎖定駭客入侵途徑，追追追。