當ATM一張張吐出錢來…金融科技 翻轉人性?
分享分享留言列印
A-A+
2016-07-13 04:03 聯合報 陳望博/金融顧問(新北市)



第一銀行ATM提款機遭歹徒利用系統漏洞破解,被盜領金額約8000多萬元;警方證實,3名俄羅斯人涉案,2人已經出境逃往香港。圖為兩名嫌犯在租車處。 圖/機場提供
上周末第一銀行ATM疑似遭植入惡意程式,驅動ATM吐鈔模組,盜領七千餘萬元。銀行核心帳務系統以「內部網路」物理上獨立於公眾網路之外,第一時間銀行並不知情,顯示未經核心帳務系統扣帳,應是ATM端出現的問題。
去年底,類似的例子是德國Sparkasse銀行同品牌WincorATM被警告發現安全漏洞,ATM通過鍵盤特別操作,強迫ATM系統進行軟體更新程序,藉此進入原本屬於維護人員才可進入的「指令CMD」模式,ATM等同被接手控制,幸運的是漏洞的發現者緊急通知了銀行與ATM公司處置。

看著監控影帶,大家一定很好奇,ATM是如何被綁架?錢是如何被「芝麻開門」從ATM一張張吐了出來?ATM端需要維護,有個延伸鍵盤、網路端口、替代螢幕與測試軟體,利於維護與測試,例如ATM吐鈔是否正常、與核心系統連結是否正常等。ATM端包括許多敏感資料:分行名、防火牆設定、網路訊息、設備編號等等。有了這些訊息足以控制ATM,德國Sparkasse銀行的例子,網上連ATM被破解的螢幕截圖畫面都有,跟拿著榔頭敲開ATM機台取錢是一樣道理,這也是第一銀行核心警示系統無法作用的原因。

科技再怎麼防備,還是需要人操作及維護。每年銀行編列預算針對安全技術進行研發,程式設計員絞盡腦汁設想無數的安全情境,開發數以萬行的程式碼,如果銀行內賊可能存在?如果程式漏洞無法事先驗證預防?當然會對金融安全保障束手無策!

最近,區塊鏈技術被廣泛討論應用在金融科技Fintech領域,討論如何「去中心化、去銀行化」的安全控制,前幾天比特幣第三世代減半發行成功,加上美國聯準會的一場區塊鏈金融業研討會被提升到央行準「虛擬通貨」層級,看來下一個金融科技應用在金融安全刻不容緩。

中心化(例如銀行)的系統程式開發,系統安全性由銀行負責,傳統的理解上應該相對的安全,可是當中心化系統出現了擁有銀行系統開發能力的「內賊」,或者是程式開發相對不嚴謹中心化相對就顯得脆弱。

區塊鏈去中心化的系統架構,系統開發精神講的是「開放程式碼」的共同管理,所有的金融服務節點都可以參與系統開發,眾目睽睽之下,由所有節點參與開發,同時也由所有的節點發動「弱點攻擊」逐步修正,如此保證分散式系統沒有任何漏洞,這是一個全新的金融服務體驗。台灣擁有非常成熟的銀行管理經驗,相信區塊鏈應該能夠及早應用在金融服務,降低實體貨幣需求,避免安全意外損失。

科技真能翻轉人性嗎?抑或啟發人性的貪婪?站在人性的觀點上,金融科技已經演繹許多驚奇,讓我們迎接下一世代區塊鏈共享共治的虛擬金融吧。

德國﹒第一銀行﹒綁架﹒盜領﹒聯準會
arrow
arrow
    全站熱搜

    Andk 發表在 痞客邦 留言(0) 人氣()