1.媒体来源:
iThome
2.完整新闻标题:
骇客从尼泊尔NIC亚洲银行SWIFT系统盗转4.6亿卢比,约新台币1.33亿元
3.完整新闻内文:
国际骇客透过7个国家、31个假汇款通知进行盗转,但尼泊尔央行第一时间要求各国暂时
停止该行的国际转帐业务,顺利追回1.1亿卢比(约新台币3,200万元)。只不过,对尼泊
尔金融业者更大的警讯,除了缺乏稳定安全的网络基础设施、打造安全的金融系统以确保
帐户安全,还有不少金融业者还在使用盗版和过期软件,凭添更大的资安风险
文/黄彦棻 | 2017-10-26发表
尼泊尔NIC亚洲银行国际汇款转帐SWIFT系统遭骇案,又有新进展!
根据尼泊尔当地媒体加德满都日报的报导,此次遭骇的尼泊尔NIC亚洲银行遭到骇客以31
个假汇款通知,企图转帐4.6亿卢比(约新台币1.33亿元),在尼泊尔央行协助下,第一
时间已经追回1.1亿卢比(约新台币3,200万元)。
骇客盗转4.6亿卢比,已先追回1.1亿卢比
从报导中可以得知,国际骇客是在10月19日以31张假造的国际汇款转帐通知单,进行NIC
亚洲银行的盗转,盗转的金额高达4.6亿卢比,也是尼泊尔有史以来最大宗的金融窃盗案
。
尼泊尔央行介入后,也发函请求各国银行提供协助,暂停执行来自尼泊尔NIC亚洲银行的
国际汇款转帐业务,而骇客将盗转金额转入的银行,以亚洲为主,欧美其次,主要有亚洲
的中国(包含香港)、日本、马来西亚、新加坡、土耳其,以及欧洲的德国和美国等国家
的银行帐号。在各国银行的协助下,尼泊尔NIC亚洲银行遭到国际骇客盗转转的金额,也
先追回1.1亿卢比,其他帐款还在逐步追回中。
因为尼泊尔央行的第一要务,就是希望可以追回盗转的金额,所以该国媒体引述尼泊尔央
行不具名受访者的说法指出,尼泊尔央行在10月22日已经出面发函要求各国银行协助,暂
时停止来自尼泊尔NIC亚洲银行的国际汇款转帐服务。
但事实上,还是有部分国家的银行和央行并没有提供相关协助。例如,该名尼泊尔央行的
人员便指出,在10月24日,尼泊尔央行已经对各国银行发出请求的两天后,还是有某美国
银行允许骇客顺利提领4万5千美元的盗转的帐款。
也因为尼泊尔央行在协助NIC亚洲银行追回盗转金额的过程并没有那么顺利,这也使得尼
泊尔央行只想着如何把钱专回来,而不愿意花更多心力去关注其他尼泊尔的金融银行业者
,是否有采取其他相对应的预防措施以避免重蹈覆辙。而尼泊尔央行这种只想息事宁人的
态度,引发媒体强烈的不满与抨击。
事实上,要追回遭到国际骇客透过SWIFT系统盗转的金额并没有那么容易,台湾的远东银
行遭到国际骇客透过SWIFT盗转的18亿元,虽然只剩下1,500万元还没有追回来,看似追回
帐款很容易,但从众所瞩目的孟加拉央行2016年2月爆发的SWIFT系统遭骇事件来看,“在
经过1年半的持续追查后,其实孟加拉央行遭骇后,只有大约五分之一的金额是顺利追回
。”国外媒体报导指出。
银行员工可以在SWIFT系统看电子邮件,带来网络钓鱼的可能性
尼泊尔NIC亚洲银行身为遭到国际骇客盗转4.6亿卢比的当事人,虽然此次的盗转并不会危
害到该行存款人的正常权益,但相关的损失如果没有顺利追回,也将严重危害到该银行可
以分配的股利,将会造成股东重大损失。
更有甚者,根据当地媒体的报导,国际骇客之所以可以顺利入侵尼泊尔NIC亚洲银行的
SWIFT系统,也是因为该行行员可以在提供国际转帐汇款SWIFT系统的服务器上,开启个人
的邮件帐号。这样的手法则和其他国家SWIFT系统遭入侵的手法类似,都是刚开始,可能
有内部员工点选网络钓鱼信件,导致内部网络电脑被骇客植入恶意程式。而这几起SWIFT
系统受骇的过程,彼此都有异曲同工之妙。
尼泊尔金融业者还使用盗版与过期软件,资安风险大增
这整起事件对尼泊尔金融业者带来非常大的警讯,毕竟,网络窃盗等资安入侵手法,已经
成为该国金融业者,不得不面对的、最严重的产业威胁之一。
事实上,尼泊尔的金融业者包括尼泊尔央行在内,因为过往的短视近利,并不在意必须打
造一个安全且坚固的网络基础建设,以确保金融系统与帐户安全性之外,也没有接受定期
的IT稽核措施;甚至于,从媒体的报导也可以发现,尼泊尔还有许多的金融业者,会习惯
性使用不安全的盗版或过期的软件等。尼泊尔金融业者的作为,也都使得他们必须面对极
大的网络资安风险。
虽然,这次尼泊尔NIC亚洲银行的受骇事件,并没有波及到该行总计存户约有2.4兆卢比(
约新台币7千亿元)的存款金额,但随着骇客攻击手法越来越复杂,当骇客可以顺利入侵
银行内网及SWIFT系统时,就可以监看行员所有操作与转帐行为。该银行如果没有办法即
时导入有效的预防措施,未来都有可能影响到该行存户的存款安全,更严重的情况下,当
这样的情况也发生在尼泊尔其他的金融产业身上时,对于尼泊尔金融业的正常发展都会造
成严重的负面影响。
4.完整新闻连结 (或短网址):
https://www.ithome.com.tw/news/117789
5.备注:
白痴才会土法炼钢拿枪去抢银行,有点脑袋的都知道要先去电脑补习班报到,
用电脑转钱轻松没烦恼,还不用拿命去换,被抓到也只是电磁纪录罪,关两
年就出来了,真是...