最近台灣第一銀行 ATM 遭國際犯罪組織植入惡意程式,提款機不正常吐鈔被國際犯罪組織盜領,引起了台灣社會大眾的恐慌。根據第一銀行估計,總共有一百多台提款機受到影響,損失金額超過八千多萬台幣。
根據英國《每日郵報》在2015年的報導,2013年時烏克蘭首都基輔曾經發生過類似案件,之後美國、俄羅斯以及歐洲國家都有類似案件發生,共計有一百多個金融機構受到影響,損失金額超過65億英鎊(約合300億台幣),而駭客則預計進一步在亞洲、非洲以及中東國家犯案。
通常此類案件犯案過程大概 2至4 個月;首先駭客會透過「社交工程」(social engineering) 手法──亦即寄發大眾感興趣的電子郵件(通常是與時事、工作或是色情相關之郵件),吸引使用者打開郵件附件,將惡意程式植入銀行內部並進行監控,並選擇合適時機下手。雖然外國執法單位已經掌握犯罪之手法,但此類案件破案的機率並不高。
所幸,這次台灣警方及時破案,逮捕三名犯罪人,並追回所有款項。警政署長陳國恩更向全球駭客宣示:「台灣不是你的犯罪天堂、台灣不是你的家,台灣是人情味濃厚的地方,警方絕對會以專業捍衛台灣財產安全」。
但回顧過去幾天媒體報導,我們對這種犯罪究竟看懂了多少?
資訊犯罪與疾病的隱喻
根據調查局新北市調處的說法,本案目前看來,應該是犯罪集團透過網站連結或是電子郵件,將惡意程式,植入第一銀行倫敦分行的系統中,透過倫敦分行的系統進行犯罪。如果是這樣,則我們必須釐清:這些程式是何時被植入?是不是屬於「零時差攻擊」(亦即當駭客發現系統或應用程式的弱點後,在開發商尚未發現問題或尚未發布修正程式前,所進行的攻擊)?第一銀行有沒有辦法在第一時間發現這些問題?
假設此事不涉及人為疏失或內鬼,而屬於單純資安事件,特別是「零時差攻擊」,那我們便不應該太過苛責第一銀行。畢竟網路世界中的資訊安全問題,就像現實生活中的傳染病一般,我們無法知道何時會發生。我們無法百分之百預防疾病傳染,也無法百分之百預防網路攻擊或駭客入侵。我們可以做的,大概就是在發現問題後分享資訊,並針對已感染者進行隔離。
資安事件的資訊分享,也如同傳染病預防模式中的「通報」一般。網路上的惡意程式與攻擊就像傳染病病毒,若我們能及早發現,就能及早找出防治或對抗方法。既使無法立即找到解決方案,我們也可以透過封鎖受感染電腦,減少損害擴散。目前各國資安事件資訊分享的相關規範與做法──例如美國的《資訊安全管理法》 (Federal Information Security Management Act of 2002) 或是台灣資安通報的相關規範,都反映這樣的概念。
「受駭者」通報的躊躇
然而,如何鼓勵通報,一直是資安事件通報的一大難點。如同警政署署長陳國恩所言,國外銀行擔心商譽受損,很多都不願聲張;而台灣的銀行也有相同考量。
筆者曾在 Cybercrime in the Greater China Region (《大中華區網路犯罪》)一書第六章提到:在台灣主動通報的,經常會被當成「壞小孩」,除了媒體大肆宣染造成無法回復的聲譽損害,更還要受主管機關的稽核甚或是懲罰。反而是那些後來被發現同樣受到攻擊但沒有通報者,卻能平安過關。就像此次案件爆發後,媒體在事件還沒有完全搞清楚時,便一直詢問關於懲處的問題,便可窺見一二。
名譽或營利的損失,確實是在「受駭」者在決定通報與否時的重要顧慮。或許有部分企業在受到攻擊後,會願意分享攻擊的資訊;但多數受駭企業如同感染污名化疾病的人(如愛滋病患),會擔心通報後,可能遭受政府管制或是被貼上負面標籤,損害公司聲譽。因此,他們往往都會拖到事件蓋不住時才願意通報,也常吝於在事後分享相關資訊。
除了前述考量以外,通報手續的繁複、限時通報的要求、需同時向多單位通報的規定,也都影響了這些「被駭」機構通報的意願。我曾在前引書中建議,相關主管機關以及受通報單位應該思考:如何從避免通報者聲譽損失,以及在通報後可能遭受的稽核與懲罰,阻礙通報意願?其應透過協助或獎勵,鼓勵資安事件資訊分享,防止損失擴大。
本案中的銀行責任
然而回看一銀的責任,類似盜領案件已經在歐美三十多個國家,超過一百多間銀行發生過。為何第一銀行沒有防範?是台灣不在這些國際資安事件資訊分享的網絡內,或是第一銀行並沒有及時針對這些問題反應?而從後續報導看來,第一銀行無法在第一時間掌握損失的總金額,也顯示出一銀在公司內控上,可能也已出現漏洞。
其實,微軟決定在2014年4月8日起不再針對 XP 系統提供更新的時候,CNN 便已在報導中指出,美國95%使用 XP 系統的 ATM 將會成為孤兒機器,成為駭客攻擊目標。而也有不少白帽駭客,在駭客年會示範過讓 ATM 吐鈔的技術。所以本次事件,應該是可以預防的,不宜視為「零時差攻擊」。但是第一銀行以及部分台灣的銀行,並未主動積極的替換這些機器,而讓駭客有機可趁,確需檢討。
追根究柢,資安問題很大一部分,還是回歸到管制與公司政策。如同資安公司卡巴斯基針對 2013 年基輔市 ATM 自動吐鈔案件的調查,此類案件的關鍵,主要還是在於銀行內部系統遭植入惡意程式而不自覺。科技技術可以在資安漏洞被發現後,提出修補程式;然而,修不修補,是否升級,則是公司人為決定。
此次事件的發生,我們可以說或許可以成為犯罪學理論中的「被害者觸發理論」的教材──也就是犯罪事件的發生,某些程度上是因為被害者的行為所引發。雖然第一銀行是被害者,但此事犯罪的發生,卻是因為其未能主動積極汰換舊型機器,而讓駭客有可趁之機。所以一銀要負擔相當責任。
公私協力與犯罪控制
這次,台灣警方在短短一週內偵破此案,讓各界對於台灣警察的能力與信心劇增。雖說此類型案件在全球盛行,而國外執法單位與資訊安全公司也都掌握作案手法以及可能集團,但罕見能如同此次台灣警方,在短時間破案並順利追回款項。這顯示出台灣警察破案的決心與專業,也讓國際間警察刮目相看。根據警方說法,目前已有歐美國家透過國際刑警組織香港分部,向台灣請求司法互助。
然而,從這幾天的新聞報導,此次案件可以破案,也要歸功於部分民眾的警覺,在發現有可疑人士在自動櫃員機提領時的異樣,主動通報警察。而民眾這麼高的警覺心,或許源於台灣過去盛行的電話詐騙案。由於政府大力宣導電話詐騙案件,並教導民眾需要隨時提高警覺,並在發現可疑情況通知執法單位。
這種民眾自發扮演維護社會安全角色,在現今社會,特別是網路社會,有其特別的重要性。越來越多的研究發現:官方執法單位已經無法有效監督與控制犯罪,唯有公私協力與民眾自發投入維護社區安全,才是未來犯罪控制的發展趨勢。
(張耀中 Lennon Chang,澳洲 Monash 大學犯罪學助理教授,亞太科技與社會協會副主席,研究領域包含亞太網路犯罪、公私協力、人肉搜索與網路警政等議題)