資訊安全管理國際標準案例說明

-

第一銀行ATM盜領案

事發經過
710日凌晨5點半,一名頭戴黑白帽和大口罩的男子,走近臺北四平街市場附近的一銀吉林分行ATM提款機,一把一把地,接連從提款機吐鈔口,拿出一疊疊厚鈔,不需提款卡,沒輸入任何密碼,甚至不用接觸ATM就能領錢,彷彿像電影情節一般,ATM成了一臺源源不絕地任意吐鈔的機器。不只這家分行,7月第二個周末凌晨,第一銀行臺北和臺中市合計有22家分行共41ATM都遭人清空,累計遭盜走了8,3277,600元。

透過綿密的監控設備,逮到洗錢的嫌犯並追回贓款
警方案發不久就能鎖定可疑嫌犯,正是因為臺灣有一套綿密的監控視訊系統。
惡意程式具備自毀匿蹤能力,事後追查難度高
在警方大動作追人追款之際,調查局也沒閒著。事情發生後,第一銀行先將發生金額短少的41ATM設備,陸續送到調查局的資安鑑識實驗室進行檢測,希望從中找到任何蛛絲馬跡,回溯駭客可能的入侵路徑。
調查局發現,一銀倫敦分行是駭客入侵的端點之一
找出了惡意程式,確認ATM遭駭,但是這些惡意程式從哪來是下一個要解決的問題,再加上這些木馬都不具備遠端連線功能,無法透過駭客常用的C&C跳板伺服器來遙控,駭客勢必得遠端手動操控才能執行。
調查局連夜請一銀倫敦分行的主管趕回臺灣,同時帶回3顆硬碟,包括了遭駭伺服器內的2顆硬碟,和遭入侵PC的硬碟。
不過,調查局調查工作還未結束,還有其他可能受駭的主機正在鑑識中,調查局資安科科長周台維一再強調,一銀倫敦分行的受駭主機,只是可能受駭的主機之一,還有其他可能性,調查局不排除,除了一銀倫敦分行之外,駭客還從其他可能的受駭主機端點入侵。
駭客集團6階段入侵ATM
根據調查局所揭露的資料,可以將駭客入侵一銀ATM的流程,分成6個階段,階段1、從分行入侵內網
階段2、建立內網潛伏基地
階段3、暗中蒐集入侵情報
階段4ATM入侵準備
階段5、開啟ATM遠端控制
階段6、植入ATM控制木馬,發動盜領


留言

張貼留言

這個網誌中的熱門文章

資訊安全管理國際標準ISO27001

-
圖片
ISO27001 信息技術 - 安全技術 - 信息安全管理體系要求 (Information technology-Security techniques-Informationsecurity management systems requirements) 。 隨著資訊科技日益普及,人們對於資訊系統的仰賴與日遽增,然而近年來不時發生各式病毒攻擊、駭客入侵、資料竊取等事件,在使得資訊安全的重要性逐漸成為各方關注的議題。 推動資訊安全工作,主要涵蓋的層面包括人員、作業流程和資訊技術,要如何將此三者串連起來,最好的方式就是建置一套適合組織的資訊安全管理制度。目前,實務上最好的參考指引就是國際資訊安全管理標準 ISO 27000 系列的規範,接下來的文章,將會說明如何協助組織導入符合標準要求的資訊安全管理制。 一談到資訊安全,大多數人的直覺反應就是在抵擋駭客入侵,但事實上,這只是其中的一小部分而已。過去,許多企業組織對於資訊安全的投入,主要都是著重在技術面的資安基礎建設,例如建置網路防火牆、防毒軟體和入侵偵測系統等,希望藉由安裝資安軟、硬體設備來加強網路安全,以抵擋來自企業外部的各種資訊安全威脅。 ISO 27001 要求組織應該要在整體業務活動與其所面臨的風險之下建立、實施、運作、監控、審查,並且維持和改進一個已經有文件化的管理制度,如果要確保它可長可久,就必須要運用 PDCA 。 圖 3-1 ISO27001 架構圖 ISO 27001 共有 11 個項目、 39 個控制項, 以及 133 個控制要點。 所謂的 11 個項目分別為 1. 資訊安全政策訂定與評估 2. 資訊安全組織 3. 資訊資產分類與管制 4. 人員安全管理與教育訓練 5. 實體與環境安全 6. 通訊與作業安全 7. 存取控制安全 8. 系統開發與維護之安全 9. 資訊安全事件之反應及處理 10. 業務永續運作管理 11. 相關法規與施行單位政策之符合性    這 11 個資訊安全範圍 39 個控制目標是 11 個項目下再細分 133 個控制要點則是   39 個控制項 目標下再去細分的
閱讀完整內容

資訊安全管理國際標準ISO27015

-
ISO27015 資訊技術 - 安全技術 - 對金融服務的資訊安全管理指南 介紹 這是在幫助指導金融服務機構(銀行,保險公司,信用卡公司等)使用 ISO27k 標準實施 ISMS 。 儘管金融服務行業的風險和安全標準廣闊下已經提供勞務 (如 ISO TR 13569 “銀行業信息安全指南”, SOX 和 Basel II / III ),通過 SC 27 制定的資訊安全管理體系實施指南體現了 ISO 27001 和 27002 與各種通用安全標準,如 COBIT 和 PCI-DSS 要求一起。 範圍和目的 ISO27015 放大和擴展一些在建議 ISO27002 的金融服務機構例如,建議安全意識的活動應涵蓋客戶,而不僅僅是員工。它給種認識的消息說,認為銀行奉勸廣播到員工的例子如關於身份竊賊使用鍵盤記錄木馬、網絡釣魚和社會工程,以竊取客戶的登錄憑證制度。總體來看,在 ISO 27015 的額外的指導可能不是革命性的,但它是一個有用的提示,遠遠超出了基本的 ISO 27002 在少數地區建議。 該標準的現狀是發表在 2012 年 11 月。 這是一個技術報告,而不是一個國際標準,通常是說:“這是專業發展的領域,我們是不是完全滿意”的 ISO 的辦法。 該標準是由於進行修訂,以反映 2013 年發行 27001 和 27002 。只有三個變化是由一個國家機構提出的,這意味著在保持這個標準可以忽略不計利息。 一些金融業的聯絡機構和 SC 27 名專家的提議撤銷它,而不是 - 一個明顯的跡象,表明他們並不重視它,而實際上它可能適得其反(在已經受到嚴格監管的行業徵收又一遵守障礙) .. 。這樣的修訂項目已被取消,並在適當時候 ISO27015 將被撤銷。
閱讀完整內容

一銀盜領案

-
圖片
調查局發現,一銀倫敦分行是駭客入侵的端點之一 找出了惡意程式,確認ATM遭駭,但是這些惡意程式從哪來是下一個要解決的問題,再加上這些木馬都不具備遠端連線功能,無法透過駭客常用的C&C跳板伺服器來遙控,駭客勢必得遠端手動操控才能執行。 調查局轉而聚焦於清查一銀內網的各種異常連線記錄,終於找到了在7月9日時大量來自海外一銀倫敦分行連線到臺灣ATM的記錄,發動大量連線的系統是倫敦分行的電話錄音伺服器。但是,一銀這家倫敦分行沒有ATM業務,不需連線回臺灣ATM,不應出現任何連線記錄,而對位於臺灣的ATM設備,也不應該出現對外的異常連線。調查局因此而能推斷,一銀倫敦分行就是造成這次事件的駭客入侵端點之一,駭客入侵了這臺伺服器做為跳板,再進一步攻入總行的ATM。 調查局連夜請一銀倫敦分行的主管趕回臺灣,同時帶回3顆硬碟,包括了遭駭伺服器內的2顆硬碟,和遭入侵PC的硬碟。 不過,調查局調查工作還未結束,還有其他可能受駭的主機正在鑑識中,調查局資安科科長周台維一再強調,一銀倫敦分行的受駭主機,只是可能受駭的主機之一,還有其他可能性,調查局不排除,除了一銀倫敦分行之外,駭客還從其他可能的受駭主機端點入侵。 調查局目前雖然仍不願意排除內鬼接應的可能性,但是從APT(進階持續性威脅)攻擊的角度分析,也有可能是透過魚叉式釣魚郵件(Spear Phishing)的方式,先入侵倫敦分行行員的個人電腦後,再藉由內部橫向移動的方式,進一步掌控倫敦分行內網主機以及電話錄音系統。 ForceShield技術長林育民早在十年前就曾示範用ATM漏洞,遠端控制Wincor牌ATM,成功遙控吐鈔。他表示,ATM安全弱點可分為3大類,一是內鬼所為,如內部人員及維護廠商動手腳,其次是駭客直接從外部入侵,第三則是利用軟硬體漏洞取得ATM的控制權限。 林育民認為,從目前調查局釋出的資料看來,一銀ATM盜領事件像是駭客直接從外部入侵造成的資安事件。 調查局新北市調查處在18日晚上10點,揭露了最新的數位鑑識結果,以及所拼湊出來的一銀遭駭流程,我們彙整近2周所揭露的各項調查資訊,以及資安專家的看法,進一步畫出了更詳細的第一銀行ATM盜領事件遭駭流程圖,也向調查局再次查證,確認新的流程幾乎和目前案情100%相似。 駭客集團6階段入侵ATM 根據調查局所揭露的資料,可以
閱讀完整內容