最近台湾第一银行 ATM 遭国际犯罪组织植入恶意程式,提款机不正常吐钞被国际犯罪组织盗领,引起了台湾社会大众的恐慌。根据第一银行估计,总共有一百多台提款机受到影响,损失金额超过八千多万台币。
根据英国《每日邮报》在2015年的报导,2013年时乌克兰首都基辅曾经发生过类似案件,之后美国、俄罗斯以及欧洲国家都有类似案件发生,共计有一百多个金融机构受到影响,损失金额超过65亿英镑(约合300亿台币),而骇客则预计进一步在亚洲、非洲以及中东国家犯案。
通常此类案件犯案过程大概 2至4 个月;首先骇客会透过“社交工程”(social engineering) 手法──亦即寄发大众感兴趣的电子邮件(通常是与时事、工作或是色情相关之邮件),吸引使用者打开邮件附件,将恶意程式植入银行内部并进行监控,并选择合适时机下手。虽然外国执法单位已经掌握犯罪之手法,但此类案件破案的机率并不高。
所幸,这次台湾警方及时破案,逮捕三名犯罪人,并追回所有款项。警政署长陈国恩更向全球骇客宣示:“台湾不是你的犯罪天堂、台湾不是你的家,台湾是人情味浓厚的地方,警方绝对会以专业捍卫台湾财产安全”。
但回顾过去几天媒体报导,我们对这种犯罪究竟看懂了多少?
资讯犯罪与疾病的隐喻
根据调查局新北市调处的说法,本案目前看来,应该是犯罪集团透过网站连结或是电子邮件,将恶意程式,植入第一银行伦敦分行的系统中,透过伦敦分行的系统进行犯罪。如果是这样,则我们必须厘清:这些程式是何时被植入?是不是属于“零时差攻击”(亦即当骇客发现系统或应用程式的弱点后,在开发商尚未发现问题或尚未发布修正程式前,所进行的攻击)?第一银行有没有办法在第一时间发现这些问题?
假设此事不涉及人为疏失或内鬼,而属於单纯资安事件,特别是“零时差攻击”,那我们便不应该太过苛责第一银行。毕竟网路世界中的资讯安全问题,就像现实生活中的传染病一般,我们无法知道何时会发生。我们无法百分之百预防疾病传染,也无法百分之百预防网路攻击或骇客入侵。我们可以做的,大概就是在发现问题后分享资讯,并针对已感染者进行隔离。
资安事件的资讯分享,也如同传染病预防模式中的“通报”一般。网路上的恶意程式与攻击就像传染病病毒,若我们能及早发现,就能及早找出防治或对抗方法。既使无法立即找到解决方案,我们也可以透过封锁受感染电脑,减少损害扩散。目前各国资安事件资讯分享的相关规范与做法──例如美国的《资讯安全管理法》 (Federal Information Security Management Act of 2002) 或是台湾资安通报的相关规范,都反映这样的概念。
“受骇者”通报的踌躇
然而,如何鼓励通报,一直是资安事件通报的一大难点。如同警政署署长陈国恩所言,国外银行担心商誉受损,很多都不愿声张;而台湾的银行也有相同考量。
笔者曾在 Cybercrime in the Greater China Region (《大中华区网路犯罪》)一书第六章提到:在台湾主动通报的,经常会被当成“坏小孩”,除了媒体大肆宣染造成无法回复的声誉损害,更还要受主管机关的稽核甚或是惩罚。反而是那些后来被发现同样受到攻击但没有通报者,却能平安过关。就像此次案件爆发后,媒体在事件还没有完全搞清楚时,便一直询问关于惩处的问题,便可窥见一二。
名誉或营利的损失,确实是在“受骇”者在决定通报与否时的重要顾虑。或许有部分企业在受到攻击后,会愿意分享攻击的资讯;但多数受骇企业如同感染污名化疾病的人(如爱滋病患),会担心通报后,可能遭受政府管制或是被贴上负面标签,损害公司声誉。因此,他们往往都会拖到事件盖不住时才愿意通报,也常吝于在事后分享相关资讯。
除了前述考量以外,通报手续的繁复、限时通报的要求、需同时向多单位通报的规定,也都影响了这些“被骇”机构通报的意愿。我曾在前引书中建议,相关主管机关以及受通报单位应该思考:如何从避免通报者声誉损失,以及在通报后可能遭受的稽核与惩罚,阻碍通报意愿?其应透过协助或奖励,鼓励资安事件资讯分享,防止损失扩大。
本案中的银行责任
然而回看一银的责任,类似盗领案件已经在欧美三十多个国家,超过一百多间银行发生过。为何第一银行没有防范?是台湾不在这些国际资安事件资讯分享的网络内,或是第一银行并没有及时针对这些问题反应?而从后续报导看来,第一银行无法在第一时间掌握损失的总金额,也显示出一银在公司内控上,可能也已出现漏洞。
其实,微软决定在2014年4月8日起不再针对 XP 系统提供更新的时候,CNN 便已在报导中指出,美国95%使用 XP 系统的 ATM 将会成为孤儿机器,成为骇客攻击目标。而也有不少白帽骇客,在骇客年会示范过让 ATM 吐钞的技术。所以本次事件,应该是可以预防的,不宜视为“零时差攻击”。但是第一银行以及部分台湾的银行,并未主动积极的替换这些机器,而让骇客有机可趁,确需检讨。
追根究柢,资安问题很大一部分,还是回归到管制与公司政策。如同资安公司卡巴斯基针对 2013 年基辅市 ATM 自动吐钞案件的调查,此类案件的关键,主要还是在于银行内部系统遭植入恶意程式而不自觉。科技技术可以在资安漏洞被发现后,提出修补程式;然而,修不修补,是否升级,则是公司人为决定。
此次事件的发生,我们可以说或许可以成为犯罪学理论中的“被害者触发理论”的教材──也就是犯罪事件的发生,某些程度上是因为被害者的行为所引发。虽然第一银行是被害者,但此事犯罪的发生,却是因为其未能主动积极汰换旧型机器,而让骇客有可趁之机。所以一银要负担相当责任。
公私协力与犯罪控制
这次,台湾警方在短短一周内侦破此案,让各界对于台湾警察的能力与信心剧增。虽说此类型案件在全球盛行,而国外执法单位与资讯安全公司也都掌握作案手法以及可能集团,但罕见能如同此次台湾警方,在短时间破案并顺利追回款项。这显示出台湾警察破案的决心与专业,也让国际间警察刮目相看。根据警方说法,目前已有欧美国家透过国际刑警组织香港分部,向台湾请求司法互助。
然而,从这几天的新闻报导,此次案件可以破案,也要归功于部分民众的警觉,在发现有可疑人士在自动柜员机提领时的异样,主动通报警察。而民众这么高的警觉心,或许源于台湾过去盛行的电话诈骗案。由于政府大力宣导电话诈骗案件,并教导民众需要随时提高警觉,并在发现可疑情况通知执法单位。
这种民众自发扮演维护社会安全角色,在现今社会,特别是网路社会,有其特别的重要性。越来越多的研究发现:官方执法单位已经无法有效监督与控制犯罪,唯有公私协力与民众自发投入维护社区安全,才是未来犯罪控制的发展趋势。
(张耀中 Lennon Chang,澳洲 Monash 大学犯罪学助理教授,亚太科技与社会协会副主席,研究领域包含亚太网路犯罪、公私协力、人肉搜索与网路警政等议题)