專題成果




留言

張貼留言

這個網誌中的熱門文章

一銀盜領案

圖片
調查局發現,一銀倫敦分行是駭客入侵的端點之一 找出了惡意程式,確認ATM遭駭,但是這些惡意程式從哪來是下一個要解決的問題,再加上這些木馬都不具備遠端連線功能,無法透過駭客常用的C&C跳板伺服器來遙控,駭客勢必得遠端手動操控才能執行。 調查局轉而聚焦於清查一銀內網的各種異常連線記錄,終於找到了在7月9日時大量來自海外一銀倫敦分行連線到臺灣ATM的記錄,發動大量連線的系統是倫敦分行的電話錄音伺服器。但是,一銀這家倫敦分行沒有ATM業務,不需連線回臺灣ATM,不應出現任何連線記錄,而對位於臺灣的ATM設備,也不應該出現對外的異常連線。調查局因此而能推斷,一銀倫敦分行就是造成這次事件的駭客入侵端點之一,駭客入侵了這臺伺服器做為跳板,再進一步攻入總行的ATM。 調查局連夜請一銀倫敦分行的主管趕回臺灣,同時帶回3顆硬碟,包括了遭駭伺服器內的2顆硬碟,和遭入侵PC的硬碟。 不過,調查局調查工作還未結束,還有其他可能受駭的主機正在鑑識中,調查局資安科科長周台維一再強調,一銀倫敦分行的受駭主機,只是可能受駭的主機之一,還有其他可能性,調查局不排除,除了一銀倫敦分行之外,駭客還從其他可能的受駭主機端點入侵。 調查局目前雖然仍不願意排除內鬼接應的可能性,但是從APT(進階持續性威脅)攻擊的角度分析,也有可能是透過魚叉式釣魚郵件(Spear Phishing)的方式,先入侵倫敦分行行員的個人電腦後,再藉由內部橫向移動的方式,進一步掌控倫敦分行內網主機以及電話錄音系統。 ForceShield技術長林育民早在十年前就曾示範用ATM漏洞,遠端控制Wincor牌ATM,成功遙控吐鈔。他表示,ATM安全弱點可分為3大類,一是內鬼所為,如內部人員及維護廠商動手腳,其次是駭客直接從外部入侵,第三則是利用軟硬體漏洞取得ATM的控制權限。 林育民認為,從目前調查局釋出的資料看來,一銀ATM盜領事件像是駭客直接從外部入侵造成的資安事件。 調查局新北市調查處在18日晚上10點,揭露了最新的數位鑑識結果,以及所拼湊出來的一銀遭駭流程,我們彙整近2周所揭露的各項調查資訊,以及資安專家的看法,進一步畫出了更詳細的第一銀行ATM盜領事件遭駭流程圖,也向調查局再次查證,確認新的流程幾乎和目前案情100%相似。 駭客集團6階段入侵ATM 根據調查局所揭露的資料,可以...
閱讀完整內容

資訊安全管理國際標準ISO27001

圖片
ISO27001 信息技術 - 安全技術 - 信息安全管理體系要求 (Information technology-Security techniques-Informationsecurity management systems requirements) 。 隨著資訊科技日益普及,人們對於資訊系統的仰賴與日遽增,然而近年來不時發生各式病毒攻擊、駭客入侵、資料竊取等事件,在使得資訊安全的重要性逐漸成為各方關注的議題。 推動資訊安全工作,主要涵蓋的層面包括人員、作業流程和資訊技術,要如何將此三者串連起來,最好的方式就是建置一套適合組織的資訊安全管理制度。目前,實務上最好的參考指引就是國際資訊安全管理標準 ISO 27000 系列的規範,接下來的文章,將會說明如何協助組織導入符合標準要求的資訊安全管理制。 一談到資訊安全,大多數人的直覺反應就是在抵擋駭客入侵,但事實上,這只是其中的一小部分而已。過去,許多企業組織對於資訊安全的投入,主要都是著重在技術面的資安基礎建設,例如建置網路防火牆、防毒軟體和入侵偵測系統等,希望藉由安裝資安軟、硬體設備來加強網路安全,以抵擋來自企業外部的各種資訊安全威脅。 ISO 27001 要求組織應該要在整體業務活動與其所面臨的風險之下建立、實施、運作、監控、審查,並且維持和改進一個已經有文件化的管理制度,如果要確保它可長可久,就必須要運用 PDCA 。 圖 3-1 ISO27001 架構圖 ISO 27001 共有 11 個項目、 39 個控制項, 以及 133 個控制要點。 所謂的 11 個項目分別為 1. 資訊安全政策訂定與評估 2. 資訊安全組織 3. 資訊資產分類與管制 4. 人員安全管理與教育訓練 5. 實體與環境安全 6. 通訊與作業安全 7. 存取控制安全 8. 系統開發與維護之安全 9. 資訊安全事件之反應及處理 10. 業務永續運作管理 11. 相關法規與施行單位政策之符合性    這 11 個資訊安全範圍 39 個控制目標是 11 個項目下再細分 133 個控制要點則是   39 ...
閱讀完整內容

金融科技犯罪案例

圖片
金融科技犯罪案例 【遠銀遭駭】 18 億元遠銀遭駭盜轉事件 剛入秋的這一周,吹起了臺灣金融圈另一次資安風暴。 在 10 月 3 日這一天,遠東國際商業銀行(簡稱遠銀)的國際匯款系統 SWIFT (環球銀行間金融電訊網路)發生了交易系統異常,駭客盜轉了 18 億元匯款到海外三國,遠東銀行在 3 天後的傍晚對外公開,立刻震驚了全臺。 遠銀在 10 月 3 日上午,從資安設備上偵測到網路異常行為,隨後發現有系統毀損,確認遭到駭客攻擊而植入病毒程式,當時清查後發現,只有 PC 和 Windows 伺服器受到影響,其餘主要交易系統,如存、匯、網銀、 ATM 及信用卡等皆正常運作,分行服務都運作如常。因此,遠銀剛開始以為是只是一起單純的病毒入侵事件,也先向金管會通報遭駭客植入病毒。 第一時間遠銀先在總行成立緊急應變小組,由遠銀總經理親自主持,並在資訊處成立戰情指揮中心,由遠銀 O&T 副總經理與資訊處處長擔任現場指揮,還成立了攻防小組及設備復原小組。另外,遠銀也找來多家資安業者,如趨勢、微軟等組成團隊盤查系統,以確認影響範圍,後來找出並刪除病毒及後門程式,尤其還發現了過去沒有出現過的病毒。 像微軟原本在遠東銀行就有常駐人力,除了檢查遠銀的微軟環境是否異常外,如針對 AD 服務,微軟就會對系統架構、權限、使用者稽核管理機制、事件紀錄進行查核。微軟團隊也嘗試尋找是否有新的攻擊手法,「尤其會檢查是否出現了零時差漏洞,不過,沒有發現有這樣的漏洞存在。」臺灣微軟資訊安全暨風險管理經理林宏嘉表示。   但是,過了 10 月 4 日中秋假期隔天, 10 月 5 日,遠銀在 SWIFT 系統修復後對帳時,卻發現了 7 筆偽冒交易,遠銀才驚覺是 SWIFT 銀行與銀行間跨國轉帳系統遭駭客攻擊。 駭客入侵 SWIFT 系統來操控轉帳,盜轉鉅額款項,並分批匯往不同海外銀行,總計金額高達 6,010.4 萬美元,當中分別有 5,700 萬美元匯往柬埔寨, 210 萬 4 千美元轉至斯里蘭卡,另外的 100 萬美元則匯往美國的銀行帳戶。遠銀當日晚間也隨即至刑事局偵九隊報案,並向國際刑警組織及 SWIFT Alliance 請求協助調查,也將...
閱讀完整內容