近年銀行大力發展自助服務,但自動櫃員機卻不爭氣,經常被揭保安漏洞。最近外國黑客破解了自動櫃員機保安,只要簡單幾個動作,現金就源源不絕湧出。危險程度等同北京街頭的「疑似」櫃員機。連串事件,加上經常發現的網上銀行虛假網站,銀行的資訊安全再令人關注。
今年美國黑客大會(Black Hat USA)的重點之一是示範破解大家日常接觸的自動櫃員機。美國西雅圖一家資訊安全公司的主管Barnaby Jack在台上擺放了兩台常見的櫃員機,三兩下動作就令現鈔吐出。原來,同型號的自動櫃員機共用一條鑰匙,只要取得鑰匙打開櫃門,插入大家常用的USB「手指」,執行一個破解程式即可令櫃員機「吐現」。有趣的是,這鑰匙在拍賣網站只需十元美金就有交易。
這個方法未算可怕,最基本要黑客現身自動櫃員機才可施展「法術」。Jack還示範了另一個破解方法。生產商與自動櫃員機之間有專用的聯網,而Jack透過程式入侵了該網絡,遙距操控網絡上任何一部櫃員機,甚至可無聲無息地偷取用戶資料。
詳細的「犯案」過程,Jack並未有公開。然而,這樣的手法偷取金錢,比八達通「出賣」大家的個人資料還要可怕。不過,可別誤會黑客大會是一群科技罪犯交流作奸犯科的活動,也不是教大家破解自動櫃員機,而是透過示範入侵系統程序,讓廠商注意資訊安全,更重要的是儘快修補漏洞。
事實上,今次示範的漏洞早在一年前已發現,但生產商未趕及修復,於是遲了一年才公開展示。今次的示範,令大家刮目相看,一向被認為牢不可破的自動櫃員機,不費吹灰之力就被破解。
當然,Jack能夠站在台上作出令人震驚的示範,背後花了兩年時間研究。他還表示,檢視過的自動櫃員機都能找到漏洞,而且破解率是100%。
本港銀行近年積極發展自助銀行服務,大量採用自動櫃員機代替傳統櫃枱。今次黑客的破解,加上早前北京街頭發現虛假的自動櫃員機,無疑令人擔心銀行保安是否足以保障我們的帳戶資料。事實上,黑客的技術愈趨成熟,手法愈趨古惑,單看近年經常發現網上銀行虛假網站就知道。還是要時刻保持警覺,減低被騙的機會。
沒有留言:
發佈留言