對遠銀遭駭事件有興趣的讀者可以上網搜尋,應該滿容易就可以找到下面三個時間點。
- 10月3日: 遠銀的國際匯款系統SWIFT(環球銀行間金融電訊網路)發生了交易系統異常,駭客盜轉了18億元匯款到海外。
- 10月5日:遠銀在SWIFT系統修復後對帳時,卻發現了7筆偽冒交易,遠銀才驚覺是SWIFT銀行與銀行間跨國轉帳系統遭駭客攻擊。
- 10月6日:遠銀在公司官網發布重大訊息公告,說明因發生「電腦病毒事件」,而影響部份SWIFT系統匯款交易,其他臨櫃的存匯、轉帳、ATM等交易系統則未受影響。
這件事發生後,遠銀除了向偵九隊報案更找來了多位資安專家組成團隊協助調查分析SWIFT遭受駭客入侵的問題,雖然這這事件目前仍在調查中,但已有不願具名的資安專家做了以下說明:
- 入侵的駭客都非常了解該入侵銀行的作業模式,所有就有機會透過各種水坑式攻擊等方式,進入遠東銀行的內部網路。
- 駭客進入遠銀內部網路後,第一件事情就是設法刪除遠銀使用防毒軟體的部分程序的執行檔,初步判斷砍掉7個防毒程序後,再透過執行一個勒索軟體,加密部分電腦中的檔案。
- 透過啟動排程功能「schatasks」進行刪除的程序,並且利用「cmd」命令提示字元,登入像是C槽內的網路帳密
除了刑事偵查之外,金管會也同時針對遠銀事件,擬定/擬發佈 四大銀行資安管控措施,包括:
- 網域隔離
- 網路實體隔離
- 透過操作室存取
- 遠端存取以雙因素認證
看完了這些公開可取得的資料,小弟的疑問是:
- 現在不論是偵九隊或是資安專家都認定SWIFT是遭受惡意程式感染然後被入侵,但我如果沒記錯,銀行的SWIFT是相當封閉的系統(應該是架設在AS400主機上吧),那惡意程式是如何進到SWIFT的,到目前為止我都沒看到有人出來說明。
- 現在遠銀事件尚在偵查中,代表遠銀遭駭的根本原因尚未調查清楚,金管會確跳出來針對銀行你發佈四大資安管控措施,我的疑問是這四大資安管控措施真的是對症下藥嗎?採取網域隔離、網路實體隔離、透過操作室存取、遠端存取以雙因素認證真的可以避免相類似事件再度發生嗎?
看著重大資安事件接二連三的不斷在台灣上演,再加上這些政府官員的不知所云,真的讓我開始懷疑,大家真的把「蔡老大的話聽進去了嗎?資安就是國安」。
字體:小 中 大
