根据最新披露的美国联邦法院文档,黑客入侵了花旗银行设在7-Eleven超商的自动提款机(ATM)网络,窃取客户的个人标识号码(PIN),再度凸显金融交易出现严重的安全漏洞。
这起客户数据遭黑客盗窃事件发生在去年10月至今年3月间。花旗在全美7-Eleven设有约5,700台自动提款机,这些机器属于休士顿的 Cardtronics公司,由Fiserv公司负责维护。当前不清楚有多少花旗客户受到影响,但该银行事后已主动通知部分客户更换提款卡。
美国纽约南区地方法院今年3月以共谋诈欺起诉三名被告,检察官说,他们藉此至少不法获利200万美元。但对消费者而言,更严重的是犯罪分子竟能通过攻击提款机的后端计算机系统,获取在金融交易过程理应受到严密保护的PIN码。
该案也凸显一个重大问题,即黑客把攻击目标转向自动提款机的系统结构。这些结构日渐采用微软的窗口操作系统,可让机器在网络上进行远程诊断和维修。
尽管产业标准要求对PIN码进行强大的加密保护以防数据外泄,但部分操作人员没有按照规定行事。这些PIN码可能是在自动提款机与后端计算机传输数据的过程中外泄。
顾能公司(Gartner)分析师李坦(Avivah Litan)说:「PIN码的防护应该固若金汤才对,但本案显示PIN码的加密防护措施不足。银行需要更完善的诈欺检测系统与有效性手续。」
本案的侦查重点之一,是黑客如何渗透网络系统。当前已知他们是通过第三方数据处理业者的服务器入侵ATM网络。他们也可能利用网络安全漏洞或破解计算机密码,而获取机器的管理员权限,甚至在银行的服务器植入恶意软件,在用户输入PIN码时截取数据。
如此一来,客户的PIN码常可在不被窜改的情况下,神不知鬼不觉遭窃取。以往不法分子偷窃密码的方法较容易引起注意,例如发送钓鱼信件,或在提款机上安装伪造的按键与照相机。
