2016年2月中下旬,孟加拉央行10億美元盜領案,震驚各界。其中轉到斯里蘭卡2千萬美元因收款戶名有一字拼錯而被追回外,但其餘款項則被轉至數家銀行、賭場,而追索困難。(路透)
■魏錫賓
有些東西,失去時才知珍惜,金融機構的資訊安全應也算其中之一。
在美國聯邦調查局(FBI)公布通緝要犯的網頁中,有一名叫做朴鎮赫(Park Jin Hyok)的北韓人,因駭入他人電腦,涉及電匯與銀行詐欺而在2018、2020年2度被美國法院發出聯邦逮捕令,其蹤跡雖被發現在中國與北韓出現過,但目前仍被通緝中。根據FBI的通緝令,朴鎮赫是由國家資助的程式設計人員,參與北韓政府偵察總局的駭客團體。
孟加拉央行盜領案 網路釣魚得逞
朴鎮赫與同夥被控以網路釣魚、惡意程式等方式駭進大型企業、交易所、公家機構電腦,再勒贖企業或盜取比特幣等加密貨幣錢包,涉及金額以億美元計,而其中最引人矚目的恐是駭進孟加拉央行盜取美元一案。
2016年2月中下旬,孟加拉央行存放於紐約聯邦儲備銀行約10億美元被駭客盜走案傳開,震驚各界,後來雖確認在35條的轉帳指令中,大部分被攔截,但仍成功轉出1.1億美元。根據FBI幹員證詞,孟加拉央行被盜案是截至當時以金融機構為目標的最大駭客案,其中轉到斯里蘭卡2千萬美元因收款戶名有一字拼錯而被當地銀行留置,且很快追回,但其餘轉至於2015年5月用假名在菲律賓開立的一個帳戶,則立刻再被轉出到數家銀行、賭場,而追索困難。
這樣大規模的案件當然非完成於一夕之間。FBI調查發現,孟加拉央行很早就被駭客集團鎖定,他們在2014年10月7日就先針對孟加拉特定銀行進行網路釣魚、尋找網站弱點,2015年2月、10月也發送釣魚郵件給特定銀行及孟加拉央行許多職員,內文是措詞有禮的求職信,希望能夠有面試機會,進而成為他們的一員,並請收信者點開信後鏈結,開啟個人履歷表。當然,裡面隱藏了可以駭進孟加拉央行電腦網路的惡意軟體。
駭客利用孟加拉與美國不同休假日的時間差,從孟加拉央行發出指令,要求將在紐約聯邦儲備銀行的幾乎所有存款轉出,並破壞查核設備,成功盜取巨款。此一事件涉及的機構、組織及過程,比電影情節更加戲劇化;但駭客先鎖定目標、瞭解對手、尋找弱點及機會、進行演練,然後隱藏行蹤、伺機而動的過程,就像所有計畫縝密的大型網路預謀犯罪,一直挑戰著資安維護能力。
駭客攻擊神出鬼沒 金融機構資安防不勝防
對金融機構而言,作業程序疏漏、人員疏忽等作業風險防不勝防,稍一不慎可能就釀成大禍害,諸如駭客入侵挪移存款的機率雖低,然一旦發生,財務與商譽的損失將難以負荷。孟加拉距離雖遠,但FBI指出該北韓駭客集團鎖定的犯案目標包括越南、菲律賓、非洲及東南亞銀行等各地金融機構,可見駭客不被國界拘束,網路攻擊可能來自從未想過的地方。
因為惡棍國家對政治、經濟與社會穩定的有意破壞,以及高科技系統化的犯罪集團成形,駭客已翻新了面貌;在道高一尺時,魔也會想著如何再高一丈。資安維護不容有輕忽之時。