遠東銀行第一次入侵被匯走50萬(USD),再來馬上就出現被盜走 6000萬美金(約18億台幣)的新聞,被拿走多少錢,犯人是誰再自行看新聞即可,此篇文章在於紀錄被駭的經過、注意事項。
2017/10 補:TWCERT/CC 分析報告 (PDF)
遠東銀行被駭18億的經驗彙整
此次遠東銀行被入侵的是 SWIFT 系統,找出 11個可疑檔案,6隻惡意程式 (包含兩個加密勒索木馬、三隻用來入侵和滅跡的程式)
先講微軟建議的,這個確實也是一般公司常見的問題:
- 這次遠東銀行資安事件帶來的最大啟示是,「現今資安已經沒有前線、後線之分,不能因為應用程式位居牆後,就不進行強化」,許多企業過去認為封閉、安全的環境,反而被忽略,成為駭客攻擊的弱點。
- 企業應該要開始投注心力,檢視過去那些被視為安全的環境
這篇文章有對駭客的程式、參數、DLL 等等非常完整的分析,詳見:(推薦此篇必看)
下述整理自此篇:被駭18億元 遠銀犯3大錯
金管會檢查局查出三大致命錯誤,導致此次重大資安事件
- 對相關人員授權過大,不符合「最小授權原則」
- 國際匯款系統SWIFT,並沒有作到完全實體隔離,有連結到個人電腦的情況
- 內部稽核並沒有落實檢視,忽略資安漏洞
詳細內容:
- 遠銀疑似誤觸釣魚信,被植入木馬程式,遭駭客入侵SWIFT系統,直接轉走6,000萬美元
- 金管會表示,去年即發現國際上SWIFT系統有被駭客入侵的情況,105年9月即發函要求各銀行將SWIFT系統作實體隔離,即網路及人工授權工作站都必須與主機隔離,但這次發現遠銀「只作半套」,工作站有實體隔離,但有其他維護系統跟SWIFT主機在同一網段,造成駭客透過其他系統入侵SWIFT主機。
- 相關系統維護人員的授權過大,不符合最小授權原則,即在工作必需範圍內授權即可,若有額外需求,再逐次申請開放權限,但遠銀可能便宜行事,一次就給了系統維護人員最高權限,造成駭客可透過個人電腦就入侵SWIFT主機。
- 第三大錯誤是去年銀行局就提醒所有銀行要注意SWIFT系統方相關資訊安全,從前台作業、法遵與風險管理到最後內部稽核共有三道防線,但遠銀自己卻沒有發現缺口,一直到今年10月3日覺得系統有異常,10月5日發現SWIFT系統被入侵。
下述摘錄自此篇:遠銀遭駭 金融資安拉警報 專家提9措施防範
- 確認管理與派送系統(如微軟 AD、防毒中控台等)的網路存取、帳號管理控制與安全檢測是否落實
- 落實分行人員作業用電腦安全防護,避免因資訊部門遠端作業,造成高權限帳號密碼外洩
- 布建從點、線、面的防禦縱深。若駭客從分行進入,可將損害範圍限縮於該分行,確保不會因少數分行遭駭,進而影響到SWIFT系統
- 盤查「作業必要出入口」,或有無為了維修方便而建立不為人知的「維護管道」
- 設計並落實異常交易與行為告警機制,如SWIFT 遭關閉完整性檢查功能等
- 盡速符合 SWIFT 用戶強化方案,避免類似情境再次發生
- 重新針對 SWIFT 特有的編丶核、放流程,進行風險評估,特別是電文內容遭偽冒的風險
- 分析日常業務面向之正常交易行為,落實偽冒偵測機制,加深整體資安務護縱深
- 落實多因子維度認證機制(Multi-factor Authentication),包括 SWIFT 帳號管理人員