1.媒體來源:
iThome
2.完整新聞標題:
駭客從尼泊爾NIC亞洲銀行SWIFT系統盜轉4.6億盧比,約新臺幣1.33億元
3.完整新聞內文:
國際駭客透過7個國家、31個假匯款通知進行盜轉,但尼泊爾央行第一時間要求各國暫時
停止該行的國際轉帳業務,順利追回1.1億盧比(約新臺幣3,200萬元)。只不過,對尼泊
爾金融業者更大的警訊,除了缺乏穩定安全的網路基礎設施、打造安全的金融系統以確保
帳戶安全,還有不少金融業者還在使用盜版和過期軟體,憑添更大的資安風險
文/黃彥棻 | 2017-10-26發表
尼泊爾NIC亞洲銀行國際匯款轉帳SWIFT系統遭駭案,又有新進展!
根據尼泊爾當地媒體加德滿都日報的報導,此次遭駭的尼泊爾NIC亞洲銀行遭到駭客以31
個假匯款通知,企圖轉帳4.6億盧比(約新臺幣1.33億元),在尼泊爾央行協助下,第一
時間已經追回1.1億盧比(約新臺幣3,200萬元)。
駭客盜轉4.6億盧比,已先追回1.1億盧比
從報導中可以得知,國際駭客是在10月19日以31張假造的國際匯款轉帳通知單,進行NIC
亞洲銀行的盜轉,盜轉的金額高達4.6億盧比,也是尼泊爾有史以來最大宗的金融竊盜案
。
尼泊爾央行介入後,也發函請求各國銀行提供協助,暫停執行來自尼泊爾NIC亞洲銀行的
國際匯款轉帳業務,而駭客將盜轉金額轉入的銀行,以亞洲為主,歐美其次,主要有亞洲
的中國(包含香港)、日本、馬來西亞、新加坡、土耳其,以及歐洲的德國和美國等國家
的銀行帳號。在各國銀行的協助下,尼泊爾NIC亞洲銀行遭到國際駭客盜轉轉的金額,也
先追回1.1億盧比,其他帳款還在逐步追回中。
因為尼泊爾央行的第一要務,就是希望可以追回盜轉的金額,所以該國媒體引述尼泊爾央
行不具名受訪者的說法指出,尼泊爾央行在10月22日已經出面發函要求各國銀行協助,暫
時停止來自尼泊爾NIC亞洲銀行的國際匯款轉帳服務。
但事實上,還是有部分國家的銀行和央行並沒有提供相關協助。例如,該名尼泊爾央行的
人員便指出,在10月24日,尼泊爾央行已經對各國銀行發出請求的兩天後,還是有某美國
銀行允許駭客順利提領4萬5千美元的盜轉的帳款。
也因為尼泊爾央行在協助NIC亞洲銀行追回盜轉金額的過程並沒有那麼順利,這也使得尼
泊爾央行只想著如何把錢專回來,而不願意花更多心力去關注其他尼泊爾的金融銀行業者
,是否有採取其他相對應的預防措施以避免重蹈覆轍。而尼泊爾央行這種只想息事寧人的
態度,引發媒體強烈的不滿與抨擊。
事實上,要追回遭到國際駭客透過SWIFT系統盜轉的金額並沒有那麼容易,臺灣的遠東銀
行遭到國際駭客透過SWIFT盜轉的18億元,雖然只剩下1,500萬元還沒有追回來,看似追回
帳款很容易,但從眾所矚目的孟加拉央行2016年2月爆發的SWIFT系統遭駭事件來看,「在
經過1年半的持續追查後,其實孟加拉央行遭駭後,只有大約五分之一的金額是順利追回
。」國外媒體報導指出。
銀行員工可以在SWIFT系統看電子郵件,帶來網路釣魚的可能性
尼泊爾NIC亞洲銀行身為遭到國際駭客盜轉4.6億盧比的當事人,雖然此次的盜轉並不會危
害到該行存款人的正常權益,但相關的損失如果沒有順利追回,也將嚴重危害到該銀行可
以分配的股利,將會造成股東重大損失。
更有甚者,根據當地媒體的報導,國際駭客之所以可以順利入侵尼泊爾NIC亞洲銀行的
SWIFT系統,也是因為該行行員可以在提供國際轉帳匯款SWIFT系統的伺服器上,開啟個人
的郵件帳號。這樣的手法則和其他國家SWIFT系統遭入侵的手法類似,都是剛開始,可能
有內部員工點選網路釣魚信件,導致內部網路電腦被駭客植入惡意程式。而這幾起SWIFT
系統受駭的過程,彼此都有異曲同工之妙。
尼泊爾金融業者還使用盜版與過期軟體,資安風險大增
這整起事件對尼泊爾金融業者帶來非常大的警訊,畢竟,網路竊盜等資安入侵手法,已經
成為該國金融業者,不得不面對的、最嚴重的產業威脅之一。
事實上,尼泊爾的金融業者包括尼泊爾央行在內,因為過往的短視近利,並不在意必須打
造一個安全且堅固的網路基礎建設,以確保金融系統與帳戶安全性之外,也沒有接受定期
的IT稽核措施;甚至於,從媒體的報導也可以發現,尼泊爾還有許多的金融業者,會習慣
性使用不安全的盜版或過期的軟體等。尼泊爾金融業者的作為,也都使得他們必須面對極
大的網路資安風險。
雖然,這次尼泊爾NIC亞洲銀行的受駭事件,並沒有波及到該行總計存戶約有2.4兆盧比(
約新臺幣7千億元)的存款金額,但隨著駭客攻擊手法越來越複雜,當駭客可以順利入侵
銀行內網及SWIFT系統時,就可以監看行員所有操作與轉帳行為。該銀行如果沒有辦法即
時導入有效的預防措施,未來都有可能影響到該行存戶的存款安全,更嚴重的情況下,當
這樣的情況也發生在尼泊爾其他的金融產業身上時,對於尼泊爾金融業的正常發展都會造
成嚴重的負面影響。
4.完整新聞連結 (或短網址):
https://www.ithome.com.tw/news/117789
5.備註:
白癡才會土法煉鋼拿槍去搶銀行,有點腦袋的都知道要先去電腦補習班報到,
用電腦轉錢輕鬆沒煩惱,還不用拿命去換,被抓到也只是電磁紀錄罪,關兩
年就出來了,真是...