印度銀行近日接獲數起用戶投訴其扣賬卡(debit card,台灣稱簽帳卡)在中國遭盜用的案例,疑似因銀行系統在一個月前被植入惡意程式,使得用戶資料及賬戶遭竊。目前已有高達320萬張扣賬卡恐受影響,各大銀行紛紛要求客戶更改密碼或更換新卡。
據印度《經濟時報》(Economic Times)報導,此事件或將是印度史上最大宗金融數據外洩事件之一。在所有可能被侵入的扣賬卡中,約有260萬張由國際兩大信用卡機構 Visa 和萬事達卡(MasterCard)發行,另有60萬張由 RuPay 發行。該國受影響最大的發卡銀行為印度國家銀行(State Bank of India)、HDFC 銀行(HDFC Bank)和 YES 銀行(YES Bank)等。
印度國家支付公司(National Payments Corporation)資深官員指出,此數據外洩事件發生在1個月前,肇因於印度多家銀行的自動櫃員機(ATM)所使用的日立支付服務(Hitachi Payment Services)系統被植入惡意軟件,讓黑客得以竊取銀行扣賬卡客戶的信息及存款。
該官員重申此事件起因與銀行無關,且該惡意軟件已被偵測並處理。印度支付委員會(Payments Council of India)也表示,目前已下令查核銀行的伺服器和相關系統,包括風險最高的 Visa和萬事達卡,以偵測攻擊用戶賬戶的來源。印度金融支付安全專家(SISA)組織的成員也正參與這起案件調查,並指出檢測惡意軟件大約需要6個星期。
我們強大的系統是絕對安全的,沒有任何安全漏洞。客戶可以繼續安全地使用他們的扣賬卡。這是發生在整個銀行卡產業的事件(不只發生在印度國家銀行上)。
多家銀行紛紛向用戶保證其系統安全無虞,但仍建議採取預防措施。HDFC 銀行就表示,他們在幾週前便已對此採取防護措施,並建議用戶經常更改 ATM 密碼。印度時報則報導,為求保險,印度國家銀行將重新核發60萬張扣賬卡。萬事達卡也在電子郵件聲明中澄清,自家系統並未被黑客入侵。
近年各國 ATM 遭盜案件層出不窮,且盜領金額及犯罪組織規模愈來愈大。2013年,美國破獲史上最大規模的 ATM 盜領案,歹徒在10個小時內,透過27個國家的提款機盜領4000萬美元。2016年5月及7月,日本及台灣也各自發生超商及銀行 ATM 盜領案,皆與跨國犯罪組織相關。
對此,劍橋大學資安工程教授 Ross Anderson 便指,印度中央銀行需要針對安全漏洞制定嚴格的政策。而目前中央銀行尚未要求各銀行向大眾報告其安全問題,等於是讓銀行掩蓋缺失,讓客戶處於承擔詐騙成本的風險中。Anderson 認為,這不只讓有錢的銀行業者可以因其自身疏忽轉而指責客戶,同時也削減了讓銀行做得更好的動力。
