「阿娘喂!」林媽媽大叫一聲,驚魂失色,發現自己銀行的帳號裡面一毛都不剩;幾個月前,聽從銀行專員的建議,辦了網路銀行功能,以後轉帳都不用出門到馬路邊提款機去,本以為不再擔心路上被行搶,誰知道人還在家,錢就被偷光了。事實上,2004年國內曾發生過多起網路銀行被盜轉帳事件;當時,財政部金融局馬上要求各銀行關閉網路銀行非約定帳戶轉帳功能;後經破獲,乃是一起以木馬程式盜取密碼的犯罪案件。不論是做生意、投資股市或者標會需求者,藉由網路銀行轉帳,不但隱密而且非常便利;尤其是轉入他人帳號的時候,在電腦螢幕前按下一個按鍵就可以完成,不用上街操作提款機;但是,轉帳也成為歹徒將錢盜走的捷徑。網路銀行犯罪是少見的案例,只是,一旦真的發生,金額通常很嚇人。根據立法委員賴士葆提供資料顯示,過去3年來總計發生151件網路銀行盜用密碼轉帳事件,金額超過新台幣2400萬元以上。偵破過多起網路犯罪的刑事局偵九隊組長孔令果表示,常見的網路銀行盜轉金額犯罪大多使用木馬程式,或者植入鍵盤側錄程式,紀錄鍵盤使用過程。而犯罪手法通常是自動登入網路銀行,然後一筆轉光金額,較少見的是每天偷偷轉出少量金額。
#@1@#此外,2004年那場網路銀行的「大屠殺」,至少讓9家銀行受害,3年以來,也有其他家銀行陸續受害,現在,銀行都要求非約定轉帳一定得經過晶片卡執行,並且在網路銀行使用上加上層層關卡。「從一開始登入,就加緊把關。」台新銀行資深副總經理黃秀華表示;當使用者想進行非約定帳戶的轉帳,非得使用晶片卡登入不可,由於晶片卡的密碼驗證是在讀卡機端,所以除非晶片卡落入壞人手裡,否則因網路傳送密碼遭截取的可能性很低,換句話說,歹徒就算擁有密碼,但是沒有晶片卡,仍然難以得逞。黃秀華還說,由於過去歹徒常用鍵盤側錄木馬(Keyboard Logger),從滑鼠點擊位置推測出被敲擊的按鍵及順序,所以銀行在客戶輸入密碼時,使用動態鍵盤的方式輸入,每次英文字母的位置都不同,降低被破解機率。更進一步的防範措施,黃秀華表示,網路銀行中針對帳戶的登入時間,凡超過個人設定的安全範圍時,即時警鈴服務立刻啟動,以簡訊或是Email方式通知使用者異常狀況。另外,日盛銀行的網路銀行,則顯示所有使用過的IP紀錄,意即曾進入過你的網銀帳戶的來源電腦紀錄,電子商務處資深協理郭銘汾表示,在過去的案例中,多為駭客由中國、韓國入侵,所以增加此功能可以讓使用者自行檢查。現在,非約定轉帳一定得用晶片卡,一個戶頭單筆上限5萬元,1天最多只能轉10萬元,1個月累計最高只能轉20萬元,銀行端的種種把關,似乎萬無一失了。
#@1@#「使用者本身一旦未保護住密碼,不管幾道鎖全部破功。」孔令果很洩氣的說,銀行再怎麼努力防堵,但只要客戶端一疏忽,還是遭殃,因為唯獨使用者登入的密碼,才是關鍵。孔令果指出,木馬程式會得逞盜取密碼,常常和使用者本身的「懶人習慣」脫不了關係。因此,他大致將常見漏洞歸納為懶人三誡。第一誡,不可把各家銀行、網路會員、遊戲會員登入的密碼都設為同一組,這是大忌;簡直就是幫助駭客只要掌握一組密碼,就能贏者全拿,不盜光你的錢,刷爆你的卡,用光你的遊戲點數和寶物,就對不起他自己,偏偏,孔令果從多起案件受害者中發現,很多人都有這個懶人習慣。
#@1@#第二誡,用家中電話號碼、自己的生日、太太的生日、車牌號碼做為密碼;孔令果說,這些資訊都非常容易取得,對方只要拿到你的身分證影印本,或電話帳單、繳水費收據等等。況且,只要多試幾次,說不定還不需動用到木馬程式,你的帳號自然被破解,未免讓歹徒太容易得手。第三誡,把各個帳號密碼,全部打好存在電腦的一個Excel檔或者word檔中。別以為不可能,孔令果指出,很多人有這種習慣,當中木馬程式後,會在你的電腦內搜尋出現「帳號」、「密碼」關鍵字的檔案,並自動擷取,這也是過去發生的真實案例。不過,他建議,若非得這樣做,也請把檔案存在外插式隨身硬碟(USB),需要時再查就好。
#@1@#至於消費者為什麼會中木馬程式呢?而郭銘汾則指出,很多客戶是被「網路釣魚」,例如,暗藏木馬的電子郵件,當使用者讀取時,悄悄被安裝木馬;再來是註冊相似度極高的網域,像某家英文L字開頭的傳統老銀行,就被駭客以阿拉伯數字1做仿冒網域,不知情使用者就上當了。當你中了木馬程式後,程式會自動監測你的電腦,並記錄受害者電腦的鍵盤敲擊紀錄及螢幕畫面擷取圖,因而盜取受害者的電子郵件、聊天記錄及密碼等個人資料,木馬程式並可將受害者的網路行為傳出,再進一步分析利用。孔令果以過往偵辦經驗表示,歸咎起來,網路銀行被盜用使用者本身要負的責任比較大,使用者對密碼的保護,常常沒有警覺性,總覺得事情不會發生在自己身上。魔高一尺,道高一丈,國外已經發展出多種防範方式,例如在登陸網路銀行同時,銀行端會傳送一組密碼至帳戶所有人的手機內,每次密碼不同,除非晶片卡和手機同時落入壞人手裡,否則就算中了木馬程式,歹徒也難以登入成功,孔令果表示,中國大陸已經使用這套措施了,但是台灣相對落後。孔令果說,國內金融界有個習慣,喜歡遷就客戶的便利性,這也是有心人士可以鑽漏洞的地方,幸虧前幾次發生網路銀行盜領事件,銀行還是有負責客戶損失。看來,下次當你登入網路銀行遇到詢問「3個月期限已經過了,請更改密碼」的畫面時候,請別嫌麻煩;畢竟和丟了幾十萬元相比,多做這個小動作,一點都不會麻煩。
