根據最新披露的美國聯邦法院文檔,黑客入侵了花旗銀行設在7-Eleven超商的自動提款機(ATM)網絡,竊取客戶的個人標識號碼(PIN),再度凸顯金融交易出現嚴重的安全漏洞。
這起客戶數據遭黑客盜竊事件發生在去年10月至今年3月間。花旗在全美7-Eleven設有約5,700臺自動提款機,這些機器屬于休士頓的 Cardtronics公司,由Fiserv公司負責維護。當前不清楚有多少花旗客戶受到影響,但該銀行事后已主動通知部分客戶更換提款卡。
美國紐約南區地方法院今年3月以共謀詐欺起訴三名被告,檢察官說,他們藉此至少不法獲利200萬美元。但對消費者而言,更嚴重的是犯罪分子竟能通過攻擊提款機的后端計算機系統,獲取在金融交易過程理應受到嚴密保護的PIN碼。
該案也凸顯一個重大問題,即黑客把攻擊目標轉向自動提款機的系統結構。這些結構日漸采用微軟的窗口操作系統,可讓機器在網絡上進行遠程診斷和維修。
盡管產業標準要求對PIN碼進行強大的加密保護以防數據外泄,但部分操作人員沒有按照規定行事。這些PIN碼可能是在自動提款機與后端計算機傳輸數據的過程中外泄。
顧能公司(Gartner)分析師李坦(Avivah Litan)說:「PIN碼的防護應該固若金湯才對,但本案顯示PIN碼的加密防護措施不足。銀行需要更完善的詐欺檢測系統與有效性手續。」
本案的偵查重點之一,是黑客如何滲透網絡系統。當前已知他們是通過第三方數據處理業者的服務器入侵ATM網絡。他們也可能利用網絡安全漏洞或破解計算機密碼,而獲取機器的管理員權限,甚至在銀行的服務器植入惡意軟件,在用戶輸入PIN碼時截取數據。
如此一來,客戶的PIN碼常可在不被竄改的情況下,神不知鬼不覺遭竊取。以往不法分子偷竊密碼的方法較容易引起注意,例如發送釣魚信件,或在提款機上安裝偽造的按鍵與照相機。
