這是今天3/27更新昨天網路ATM漏洞後續的新聞^^~ http://tw.nextmedia.com/applenews/article/art_id/32392105/IssueID/20100327 網路ATM 10銀行改善缺失 【專案組、廖珮君/台北報導】《蘋果》昨報導，竹科工程師Jim揭露，網路ATM恐洩漏 晶片金融卡交易驗證資料，並可偽造交易驗證碼，佯裝持卡人與銀行交易，有遭盜領疑慮 金管會要求檢核 金管會昨表示，測試47家金融機構，發現10家未落實須以動態隨機且一次使用方式產生交 易驗證碼規定，已要求銀行改善完畢，民眾交易安全無虞。 金管會昨找銀行公會、財金公司開會後，已要求47家金融機構，應依每筆交易回傳交易驗 證碼時，設定為變動值且只可使用一次，且交易驗證資料傳回銀行時，銀行須落實檢核制 度。金管會表示，10家金融機構昨已就相關缺失事項修正完畢，對客戶權益無任何影響， 民眾若有疑慮可逕洽銀行。 對此，Jim表示，他樂見主管機關重視民眾對交易安全的疑慮，「這不是我一個人的錢， 而是大家的錢。」中華大學資訊工程系助理教授王俊鑫則說，銀行落實規定，或可避免被 偽造交易驗證資料，但應進一步加入辨識卡片是否真實存在機制，避免無卡仍能與銀行交 易。 金管會亦再次提醒民眾，使用網路ATM應避免與他人共用電腦或連結至不明網站，或於公 用電腦進行網路ATM交易及輸入個人密碼，並應選擇具顯示螢幕及鍵盤、可確認交易及輸 入密碼之確認型讀卡機，並在完成交易後立即取出晶片金融卡，以確保交易安全。 ---------------------------------------------------------------------------- 這是昨天的新聞^^~ http://tw.nextmedia.com/applenews/article/art_id/32388605/IssueID/20100326 晶片卡上網轉帳 恐遭盜款 讀卡機洩個資《蘋果》記者目擊測試成功 【專案組╱台北報導】用晶片金融卡進行網路ＡＴＭ交易出現安全疑慮。竹科工程師Jim 向《蘋果》揭露，他測試台灣晶片金融卡卻發現交易安全機制有漏洞，號稱無法被複製、 偽造的晶片卡，在網路ＡＴＭ交易時不僅會洩露驗證資料，還能藉此偽造「未來交易」騙 過銀行，他說，駭客若製造木馬程式病毒發動攻擊，恐造成用戶損失。 高手爆料 晶片金融卡發行超過四千七百八十萬張，網路ＡＴＭ用戶逐年增加，年交易金額已超過四 千億元。據財金資訊公司資料，網路ＡＴＭ有安全、便利及全年無休特性，且晶片卡以動 態方式產生交易驗證碼，無法被偽造，資料也無遭側錄風險。 網路ＡＴＭ不夠安全 擁有科技專業背景的Jim說，他發現的漏洞出現在網路ＡＴＭ交易，實體ＡＴＭ則無；他 說，讀卡機與電腦作業系統溝通時，會洩露晶片卡未加密的驗證資料，若再趁機偽造一個 交易驗證碼的請求，設定未來時間、交易金額等，晶片卡就會依此產生合法的交易驗證碼 ，藉此進行「未來轉帳交易」。Jim並以自己的晶片卡實驗，測試五家銀行晶片卡皆成功 闖關，並在記者面前實測，確認可完成餘額查詢交易。 《蘋果》請資訊安全及防治電腦犯罪等資安專家檢視，多數認為沒晶片卡仍可完成交易， 機制確實有問題。中華大學資訊工程系助理教授王俊鑫說，這顯示銀行無法辨識卡片真偽 ，且因交易資料及驗證碼在傳輸過程未全程保護。 詮力科技總經理姜冠宇說，「交易驗證碼不該有規則，可能銀行為省成本、偷懶，才會被 人抓到規則。」資訊安全顧問小邱說，「以現況來看，顯然沒有完全消弭風險。」資安顧 問trueman說，「網路ＡＴＭ交易安全機制設計可再嚴謹些。」《資安人》雜誌總編輯侍 家驊說，使用者不能以為使用晶片卡就萬無一失，最基本要做到維持防毒軟體及作業系統 在最新更新狀態。 銀行公會金融業務電子化委員會副主任委員羅安昌認為，實驗者用自己的卡，讓該次交易 延遲到未來進行，「用自己的東西玩玩可以」，整個交易過程還有隱藏的安全機制保護， 「離把錢轉走還差很遠。」 「不知多少錢會轉走」 金管會銀行局長桂先農則說，希望有能力破解網路ＡＴＭ交易安全機制的人，可以向銀行 局陳情，該局會進行了解。財經立委羅淑蕾表示：「人家已能破解到這樣，全部破解出來 不知道被轉走多少錢，銀行應先做防範措施。」財經立委賴士葆說，若有疑慮，「業者應 再增加安全防護。」 網路ATM交易 注意事項 ●電腦作業系統要更新到較新版本，且更新最新電腦軟體安全套件或增修版本 ●盡量使用約定帳號轉帳 ●交易時才將晶片金融卡插入讀卡機，完成交易後立即取出 ●電腦應安裝防火牆及防毒軟體，並定期更新病毒碼，避免與他人共用電腦，或連結至不 明網站、下載不明資料，或於公用電腦（如網咖）輸入個人密碼 ●使用無線上網時，不要使用網路ATM服務 ●不要透過公眾電腦使用網路ATM服務 ●進行網路ATM交易，選擇具顯示幕及鍵盤，可確認交易及輸入密碼的二代讀卡機，會較 一代讀卡機安全 資料來源：財金資訊公司 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 114.137.250.44 ※ 編輯: stahyades63 來自: 114.137.250.44 (03/26 10:07) 已經補上今日後續發展的新聞了^^~ ※ 編輯: stahyades63 來自: 114.137.111.135 (03/27 11:44)