吳俊陵／台北報導　國內十餘家銀行網路轉帳系統遭歹徒入侵！數百名銀行客戶，遭 人以變更信用卡、金融卡資料手法破解，並盜領和預借上千萬元現金。負責偵辦的刑事局 目前已緊急通知受害銀行，變更語音及網路認證系統，增補作業系統的疏漏，並且全面追 查涉嫌的林啟順電腦詐欺集團。 　　刑事局偵四隊二組上午偵破林啟順詐欺集團，查出國內十餘家知名銀行的網路查詢和 語音轉帳系統遭該集團破解，其中聯邦銀行更有上千份客戶極機密資料流入嫌犯手中，作 為盜刷信用卡，與盜領金融卡犯罪所需。 　　這起國內銀行網路、語音系統遭破解的重大詐欺案，從去年十二月中旬起，刑事局偵 四隊隊長何明洲，同時接獲多家銀行和被害人報案指稱，刷卡消費和預借現金糾紛爆增， 偵四隊二組、基隆市四分局刑事組幹員配合花旗銀行等多家受害銀行和信用卡發卡中心人 員組成專案小組深入偵辦。 　　專案小組分析案情，赫然發現歹徒以偷天換日手法，輕易取得被害人的身分證字號和 出生年月日，再利用銀行語音查詢認證系統和網路查詢系統的作業漏失，輕易破解被害人 密碼，再變更被害人住址，向銀行申請補發新的金融卡和信用卡，用以盜刷、轉帳或預借 現金。 　　昨晚，警方在台中市沙鹿和梧棲二地逮捕主嫌犯林啟順，數箱贓證中竟有一批數千份 的聯邦銀行機密信用卡客戶資料，與管制的個人信用交易資料，引起警方高度重視。 　　警方說，林嫌利用銀行銷毀過程監控不實的漏洞，到台中縣龍井一家廢紙回收中心， 竊取這批銀行報銷的客戶資料，並利用台中縣市九二一受災戶搬家遷居的機會，深入受災 社區大樓，撿取災民的信用卡申請書郵件，或行竊民宅的電話帳單、信用卡帳單。 　　林嫌取得客戶身分證、出生日和信用卡號後，進入銀行語音和網路認證系統內，逐一 破解被害人的金融密碼，尤其，遭破解的數十家國內銀行的語音和網路認證系統，均以客 戶的出生年月日及身分證字號的末四碼或末三碼，做為輸入認證憑據，使得銀行電腦語音 、網路系統門戶洞開。 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 140.119.200.92 ※ 編輯: windsailor 來自: 140.119.200.92 (03/27 02:50) > -------------------------------------------------------------------------- < 作者: puck (雪梅娘:)) 看板: Bank_Service 標題: Re: [新聞]十餘家銀行網路破功 被盜千萬 時間: Wed Mar 27 12:17:14 2002 ※ 引述《windsailor (My free style)》之銘言： : 　　吳俊陵／台北報導　國內十餘家銀行網路轉帳系統遭歹徒入侵！數百名銀行客戶，遭 : 人以變更信用卡、金融卡資料手法破解，並盜領和預借上千萬元現金。負責偵辦的刑事局 : 目前已緊急通知受害銀行，變更語音及網路認證系統，增補作業系統的疏漏，並且全面追 : 查涉嫌的林啟順電腦詐欺集團。 : 　　刑事局偵四隊二組上午偵破林啟順詐欺集團，查出國內十餘家知名銀行的網路查詢和 : 語音轉帳系統遭該集團破解，其中聯邦銀行更有上千份客戶極機密資料流入嫌犯手中，作 : 為盜刷信用卡，與盜領金融卡犯罪所需。 : 　　這起國內銀行網路、語音系統遭破解的重大詐欺案，從去年十二月中旬起，刑事局偵 : 四隊隊長何明洲，同時接獲多家銀行和被害人報案指稱，刷卡消費和預借現金糾紛爆增， : 偵四隊二組、基隆市四分局刑事組幹員配合花旗銀行等多家受害銀行和信用卡發卡中心人 : 員組成專案小組深入偵辦。 : 　　專案小組分析案情，赫然發現歹徒以偷天換日手法，輕易取得被害人的身分證字號和 : 出生年月日，再利用銀行語音查詢認證系統和網路查詢系統的作業漏失，輕易破解被害人 : 密碼，再變更被害人住址，向銀行申請補發新的金融卡和信用卡，用以盜刷、轉帳或預借 : 現金。 昨天看到這則報導時就有點疑問 按照歹徒的作案手法 應該是取得被害人帳號或ID生日等資料後 進入銀行正常運作的語音或網路系統 用取巧的方式try密碼(許多人會用生日或id排列組合一下當密碼) 或者是土法煉鋼一碼一碼慢慢試 總之就是試出密碼後 再作後續變更住址申請補發等等等等的動作 這是典型網路洗錢的犯罪類型之一 似乎談不上什麼"銀行系統被破解"或是"作業漏失"之類的問題 至少這位記者並沒有點出漏失之處 當然 我知道有些銀行的網路系統是 假使偵測到同一帳號密碼被try超過一定次數 就會開始控管程序 等於是再加一層安全門檻 也有些銀行語音轉帳系統 是限定客戶事先約定帳號才能進行轉帳 這樣子被侵害的機會又更為減少了 各家的防弊措施都各有巧妙.... 如果照表面的報導看來 歹徒只是勤於"做苦工" 而且懂得利用時間差 (頂多再加上 找到那間銀行委外的資料處理公司) 並沒有新聞形容得那麼神乎其技吧.......... > -------------------------------------------------------------------------- < 作者: windsailor (My free style) 看板: Bank_Service 標題: Re: [新聞]十餘家銀行網路破功 被盜千萬 時間: Wed Mar 27 13:03:58 2002 ※ 引述《puck (雪梅娘:))》之銘言： : ※ 引述《windsailor (My free style)》之銘言： : 昨天看到這則報導時就有點疑問 : 按照歹徒的作案手法 : 應該是取得被害人帳號或ID生日等資料後 : 進入銀行正常運作的語音或網路系統 : 用取巧的方式try密碼(許多人會用生日或id排列組合一下當密碼) : 或者是土法煉鋼一碼一碼慢慢試 : 總之就是試出密碼後 再作後續變更住址申請補發等等等等的動作 : 這是典型網路洗錢的犯罪類型之一 : 似乎談不上什麼"銀行系統被破解"或是"作業漏失"之類的問題 : 至少這位記者並沒有點出漏失之處 : 當然 我知道有些銀行的網路系統是 : 假使偵測到同一帳號密碼被try超過一定次數 : 就會開始控管程序 中國信託客戶用電話做語音服務，密碼累積超過五次即會禁制。 : 等於是再加一層安全門檻 : 也有些銀行語音轉帳系統 : 是限定客戶事先約定帳號才能進行轉帳 嗯，沒錯中信銀的帳戶用電話轉帳的話， 自行轉出帳號和轉入他行帳號或非本人中信帳號都需至原開戶分行， 本人攜帶身份證及原開戶印鑑才可做設定， 若自行本人A帳戶轉本人B帳戶或繳交本行信用卡款，則只需約定A帳戶轉出即可成功。 (因為都是轉到自行本人帳戶所以比較沒差) 另外中信銀網路轉帳是用SSL加密機制，另只需約定轉出帳號， 不過這部份還是需要本人到原開戶分行攜帶身份證和原開戶印鑑才能辦理， 這部份就比較難做大筆的偽冒事件的(因為要跑到原開戶分行去，很麻煩又耗時間的！)。 語音網路轉帳需填寫同意書才能生效，網路申購基金也需填寫基金語音網路約定書。 若用CA憑證(Non-set機制，目前國內銀行最高安全的網路交易機制)的話， 則需下載的金鑰亂數畫版磁片(不能備份)， 另外除了登入網路需要輸入語音密碼外， 轉帳時還需提供CA憑證的磁片密碼...... : 這樣子被侵害的機會又更為減少了 : 各家的防弊措施都各有巧妙.... 對啊，中信銀這次倒是在防弊上做得不錯，通常都會有兩層保護， 而且有時候重辦手續可能往往要回原開戶分行重新辦理， 但是個人資料維護方面卻多一層保障。 : 如果照表面的報導看來 歹徒只是勤於"做苦工" : 而且懂得利用時間差 : (頂多再加上 找到那間銀行委外的資料處理公司) : 並沒有新聞形容得那麼神乎其技吧.......... 另外匯通銀行的語音網路系統不需事先約定轉出帳號即可繳交本行的信用卡款， (信用卡帳號為十六碼卡號或十六碼8800+身份證字號(英文字母需替換為數字)再加0) 而中信銀的語音網路系統繳交本行的信用卡款，則需事先在原開戶分行約定轉出帳號 才能轉帳成功！！！ (信用卡帳號為十六碼卡號或十三碼48+身份證字號(英文字母需替換為數字)) 不過反正都是轉入本人帳戶所以比較沒有交易安全上的關係啦:) 又者，中信銀的語音網路密碼是相同的，而匯通銀則語音密碼和網路網碼是分開的兩組。 這是這兩家在信用卡繳款上的不同，語音網路加密上各有其不同處， 提供給網友們做參考，不過都是要在語音密碼做過變更之後才能做轉帳交易的唷！ 最後，若透過金融卡在ATM上操作交易就不需約定任何帳號即可成功， 因為金融卡卡片(此即為你的轉出帳號)和提款密碼就是保護措施啦！ 再做個歸結： 1.金融卡ATM轉帳交易：不需約定轉出帳號及轉入帳號。 註：ATM上約定轉帳帳戶交易的選項只是設定一個營業日內單次轉帳最高金額部份， 有約定的話，一次可以轉十萬以上，如果沒約定就分次轉讓它多扣手續費囉！ 不過通常我們都是選擇非約定轉帳帳戶交易，繳信用卡款就是輸入這個選項) 2.網路轉帳交易：需約定轉出帳號。 3.語音轉帳交易：需約定轉出帳號及轉入帳號。 (以上僅以中信銀做法為範例，若他行有其他做法則以他行公告為準)