黑客入侵花旗銀行ATM 竊取用戶PIN

根據(jù)最新披露的美國(guó)聯(lián)邦法院文檔，黑客入侵了花旗銀行設(shè)在7-Eleven超商的自動(dòng)提款機(jī)（ATM）網(wǎng)絡(luò)，竊取客戶的個(gè)人標(biāo)識(shí)號(hào)碼（PIN）,再度凸顯金融交易出現(xiàn)嚴(yán)重的安全漏洞。

這起客戶數(shù)據(jù)遭黑客盜竊事件發(fā)生在去年10月至今年3月間。花旗在全美7-Eleven設(shè)有約5,700臺(tái)自動(dòng)提款機(jī)，這些機(jī)器屬于休士頓的 Cardtronics公司，由Fiserv公司負(fù)責(zé)維護(hù)。當(dāng)前不清楚有多少花旗客戶受到影響，但該銀行事后已主動(dòng)通知部分客戶更換提款卡。

美國(guó)紐約南區(qū)地方法院今年3月以共謀詐欺起訴三名被告，檢察官說，他們藉此至少不法獲利200萬美元。但對(duì)消費(fèi)者而言，更嚴(yán)重的是犯罪分子竟能通過攻擊提款機(jī)的后端計(jì)算機(jī)系統(tǒng)，獲取在金融交易過程理應(yīng)受到嚴(yán)密保護(hù)的PIN碼。

該案也凸顯一個(gè)重大問題，即黑客把攻擊目標(biāo)轉(zhuǎn)向自動(dòng)提款機(jī)的系統(tǒng)結(jié)構(gòu)。這些結(jié)構(gòu)日漸采用微軟的窗口操作系統(tǒng)，可讓機(jī)器在網(wǎng)絡(luò)上進(jìn)行遠(yuǎn)程診斷和維修。

盡管產(chǎn)業(yè)標(biāo)準(zhǔn)要求對(duì)PIN碼進(jìn)行強(qiáng)大的加密保護(hù)以防數(shù)據(jù)外泄，但部分操作人員沒有按照規(guī)定行事。這些PIN碼可能是在自動(dòng)提款機(jī)與后端計(jì)算機(jī)傳輸數(shù)據(jù)的過程中外泄。

顧能公司（Gartner）分析師李坦（Avivah Litan）說：「PIN碼的防護(hù)應(yīng)該固若金湯才對(duì)，但本案顯示PIN碼的加密防護(hù)措施不足。銀行需要更完善的詐欺檢測(cè)系統(tǒng)與有效性手續(xù)?！?/P>

本案的偵查重點(diǎn)之一，是黑客如何滲透網(wǎng)絡(luò)系統(tǒng)。當(dāng)前已知他們是通過第三方數(shù)據(jù)處理業(yè)者的服務(wù)器入侵ATM網(wǎng)絡(luò)。他們也可能利用網(wǎng)絡(luò)安全漏洞或破解計(jì)算機(jī)密碼，而獲取機(jī)器的管理員權(quán)限，甚至在銀行的服務(wù)器植入惡意軟件，在用戶輸入PIN碼時(shí)截取數(shù)據(jù)。

如此一來，客戶的PIN碼常可在不被竄改的情況下，神不知鬼不覺遭竊取。以往不法分子偷竊密碼的方法較容易引起注意，例如發(fā)送釣魚信件，或在提款機(jī)上安裝偽造的按鍵與照相機(jī)。