新聞內容: 刑事局17日偵破了一起網路銀行鍵盤側錄密碼的案件。陳姓駭客專門在網路上販賣虛擬銀行、ATM的讀卡機,然後在驅動程式中加入自己設計的鍵盤側錄程式,只要民眾在網路上使用晶片卡,條碼就會被完全側錄。還好警方在嫌犯盜刷這些晶片卡前逮捕他,這些被偷取條碼的民眾才沒有損失。 要在虛擬的網路世界開戶,使用網路銀行就必須要讀卡機。只有高職畢業目前擔任電腦工程師的陳姓嫌犯就專門在網路上販賣讀卡機。不過,他自己設計了一套鍵盤側錄程式放在讀卡機的驅動程式中,只要民眾一刷卡,卡片的條碼就會完全被複製。嫌犯不僅成功蒐集被害人的晶片條碼,連銀行帳號、提款卡密碼也全部盜取,而且還以這些盜取來的條碼製作晶片卡盜取被害人的存款。主嫌精通網路程式,但對於晶片條碼的製作完全一竅不通,幾次試圖盜刷都因為條碼排列錯誤而失敗。還好警方在嫌犯破解晶片條碼複製之前將他逮捕歸案,才避免更多的網路消費者受害。 犯罪事實: 標題:查獲首件鍵盤側錄程式作者突破網路銀行虛擬鍵盤盜取帳號密碼案 查獲時間:民國94年05月17日上午00時00分 案由:查獲首件鍵盤側錄程式作者突破網路銀行虛擬鍵盤盜取帳號密碼案 查獲嫌犯:陳OO,三十八歲,臺中人。 查獲單位:刑事警察局偵九隊 一、 刑事局偵九隊於今(17)日宣布查獲一起網路銀行虛擬鍵盤側錄程式作者案件,陳嫌意欲突破「虛擬鍵盤」、「網路ATM」及「晶片卡」等機制從中盜取存款,自行設計鍵盤側錄程式,成功破解四十餘家網路銀行的「虛擬鍵盤」,並成功蒐集被害人「電腦名稱」、「公司統一編號」、「銀行帳號」、「提款卡密碼」、「晶片卡密碼」、銀行網路之「使用者名稱」及「登入密碼」等近千筆資料,正在規劃突破金片卡等資安機制之際遭警方適時攔阻,避免一場金融網路銀行的資訊入侵事件的持續擴大。陳嫌亦因此觸犯妨害電腦使用罪、妨害秘密、電腦處理個人資料保護法及偽造文書等罪嫌,實在得不償失。此舉無疑是國內首件突破網路銀行的「虛擬鍵盤」安全機制案件,對網路金融交易秩序而言是一大資安警訊。案經刑事局前往陳嫌住處實施搜索,當場查獲犯案所使用之上網電腦、偽造金融卡、非法取得之他人金融卡磁條資料及卡片燒錄機、陳嫌所撰寫之木馬程式及解讀內容、側錄所得之他人相關資料等贓證物。警方依法移送臺中地方法院檢察署偵辦。 二、 刑事局偵九隊於94年4月間執行例行網路巡邏時,發現有不明人士透過網路釣魚手法,大量散布晶片卡資料側錄之木馬程式於不特定人,利用偽冒電子郵件「第二代晶片金融卡驅動升級程式」訊息,散布更新晶片讀卡機驅動程式資訊給確賣購買讀卡機的網友,由於一般網友剛透過網路購買讀卡機,便收到源自晶片讀卡機賣家的郵件,並要求收信者執行「中文驅動更新程式」,使網路使用者不疑有他下載後,執行後便植入該木馬程式(smart.exe),以針對被害者電腦進行側錄網路金融交易資料。該木馬程式之主要功能係側錄他人之所有非公開上網行為並取得他人之金融卡及晶片卡內含之部分相關資料,包括使用者之電腦名稱、公司統一編號、銀行帳號、金融卡四位數字密碼及晶片卡六位數字密碼等。 三、 復經刑事局長時間跟蹤調查後發現,陳嫌有多次入出境大陸地區紀錄,構思以不法方式取得他人金融卡磁條內碼資料,用以製作偽造之金融卡盜領存款,取得之相關資料會由該程式自動蒐集後傳送至由陳嫌向申設網站並將各相關資料儲存於資料庫中,再以自行購買之空白磁條卡及磁卡燒錄機,將所得之金融卡相關資料燒製成多張偽造金融卡,並曾至大臺中地區及彰化等地之自動提款機測試由陳嫌所偽造之金融卡,惟因所得之金融卡磁條內碼資料不完整,致無法提領成功。 四、 陳嫌到案後坦承,因經商失敗而欠錢花用,才會想偏門賺錢。從規劃、設計到完成約一個多月的時間,當初想寫寫程式,看看可否從中盜取一些金錢,供作花用。過程中,先取用某銀行的晶片卡程式在加掛自己的設計內容成為一個新的木馬檔案。該木馬程式檔案可記錄內含被害人帳號、密碼等資料。只是沒想到取到近千筆網路晶片卡及網路虛擬鍵盤後,自己獨自一人在家中從新製卡,在彰化、臺中等地測試後出現不同的錯誤訊息及吃卡現象,並沒有成功盜取過別人銀行的帳戶存款。由於陳嫌以前寫過電腦遊戲及土撥鼠遊戲等等,較熟悉delphi語言。主要靠自己學習電腦設計程式作為本身主要的工作項目。警方與他閒聊時,陳嫌亦表示:有時我會想,如果我家很有錢,我可能會是個科學家。但因我沒錢才會想拼拼看。因為沒賺錢我不敢與我女友結婚。因為我與我女友目前手上的存款現金不多,年紀近四十歲,學歷不高,面試找工作實在不容易。 五、 本案出現問題的關鍵在於使用者過於相信外來電子郵件的「無害性」,若無法對不請自來的電子郵件有所警覺,當客戶端出現安全問題,相對會影響伺服端的安全性。現行晶片卡制度,除可大幅減少偽冒風險、降低作業成本外,更能進一步提供全方位的客戶服務。針對本案可說是一種資安警訊,背後的意義乃在於「資訊技術可提供一定等級的安全性,但人的因素才是可能出問題的關鍵」,刑事局也特別呼籲需要特別加強「人」方面的因素。雖然銀行設置的「網路ATM」及「虛擬鍵盤」機制,實難完全防止資料外洩,也期許晶片卡的安全性設計能更加注意,避免客戶資料所帶來的恐懼隱憂。為安全起見,刑事局強烈建議客戶,不亦輕易執行來路不明程式,操作網路銀行時,也千萬不要在網咖等公用電腦上交易。所幸晶片卡制度較一般磁卡機制安全,本身保護的技術細節較為嚴密,就算嫌犯竊錄網路封包再重送,也是無法達成偽冒交易的目的,其原因在於金融晶片卡使用單次密碼(One-Time Pad)等資訊安全機制,每次交易的鍵值不同較不易偽冒。 補充資料: 一、WebATM WebATM 服務乃以IC卡的私密性結合網路的便利性,提供了兼具ATM服務功能的創新,除了轉帳、查詢餘額外,未來還可繳稅、繳費,以及儲值至銀行小額付費平台,所有ATM功能(不含提取現金)都將可以在家完成。我國部分銀行為方便客戶進行金融交易活動推出網路ATM服務,網路ATM結合「磁條晶片卡」及「晶片讀卡機」兩者,持卡人透過電腦即享有各項金融服務(如餘額查詢、自行或跨行轉帳、約定或非約定帳戶轉帳等),可使用於網路購物、轉帳、繳款及投資等交易。 二、虛擬鍵盤 虛擬鍵盤是一具纖巧輕盈的代裝型鍵盤,能夠把完整的鍵盤投射在平面上,並可與不同種類的個人數位助理(PDA)、流動電話、手提電腦和個人電腦連接。其功能與傳統鍵盤一樣,使用者可以藉著虛擬鍵盤關輸入訊息、或者鍵入長篇文字。它採用最先進的紅外線科技創造出看不見的電路,又應用尖端激光技術,把完整的電腦鍵盤投射在平面上。先前國內網路銀行為防止木馬程式全面更改密碼的輸入方式,改採「虛擬鍵盤」,而非使用一般鍵盤輸入密碼,期望木馬程式無法竊取客戶密碼的希望,也因本案的出現而落空。 三、晶片卡 晶片卡 (Chip Card)又稱為「智慧卡」(Smart Card),乃取其具有邏輯判斷及記憶容量之智慧能力而得之。電腦駭客攻擊智慧卡晶片系統的的原因無非是想探測智慧卡中的資料,並非法複製,從而製造偽卡。而攻擊的目標無非是存放密鑰(Key Value)、密碼(Password)、計數器(通常是金額的計數)、被保護的資料與作業系統等。因此,防範攻擊必須由晶片硬體安全(物理防護) 、軟體安全(智慧卡作業系統) 及系統安全(加密方式等的選擇)等三部分配合完成。在這些環節中,安全性最強的環節並不足以代表整個系統的安全級別;相反地,安全性最弱的一環,才決定了整個系統的安全等級。所以,最大的安全等級必須通過所有環節的配合,才能得以實現。但從資訊安全的角度而言,即使是再怎麼高的或怎麼好資安技術,加上人為因素,若未能妥試管控,恐怕還是可能會出現問題,這是我們需要正視的現象。 四、移除方法 1.執行c:\windows\regedit.exe或c:\winnt\regedit.exe 2.移除二個開機自動執行程序\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run之mssmart、msupdate、smartCard 3.刪除C:\windows\system32\或C:\winnt\system32\之smartup.exe、smarth.exe 4. 刪除C:\Program Files\Tommy\SmartCard\SmartSet.exe