【專案組╱台北報導】用晶片金融卡進行網路ATM交易出現安全疑慮。竹科工程師Jim向《蘋果》揭露,他測試台灣晶片金融卡卻發現交易安全機制有漏洞,號稱無法被複製、偽造的晶片卡,在網路ATM交易時不僅會洩露驗證資料,還能藉此偽造「未來交易」騙過銀行,他說,駭客若製造木馬程式病毒發動攻擊,恐造成用戶損失。

高手爆料

晶片金融卡發行超過四千七百八十萬張,網路ATM用戶逐年增加,年交易金額已超過四千億元。據財金資訊公司資料,網路ATM有安全、便利及全年無休特性,且晶片卡以動態方式產生交易驗證碼,無法被偽造,資料也無遭側錄風險。

網路ATM不夠安全

 
網路ATM使用便利,民眾不出門也能進行交易。陳郁凱攝

網路ATM使用便利,民眾不出門也能進行交易。陳郁凱攝

擁有科技專業背景的Jim說,他發現的漏洞出現在網路ATM交易,實體ATM則無;他說,讀卡機與電腦作業系統溝通時,會洩露晶片卡未加密的驗證資料,若再趁機偽造一個交易驗證碼的請求,設定未來時間、交易金額等,晶片卡就會依此產生合法的交易驗證碼,藉此進行「未來轉帳交易」。

Jim並以自己的晶片卡實驗,測試五家銀行晶片卡皆成功闖關,並在記者面前實測,確認可完成餘額查詢交易。

《蘋果》請資訊安全及防治電腦犯罪等資安專家檢視,多數認為沒晶片卡仍可完成交易,機制確實有問題。中華大學資訊工程系助理教授王俊鑫說,這顯示銀行無法辨識卡片真偽,且因交易資料及驗證碼在傳輸過程未全程保護。

詮力科技總經理姜冠宇說,「交易驗證碼不該有規則,可能銀行為省成本、偷懶,才會被人抓到規則。」資訊安全顧問小邱說,「以現況來看,顯然沒有完全消弭風險。」資安顧問trueman說,「網路ATM交易安全機制設計可再嚴謹些。」《資安人》雜誌總編輯侍家驊說,使用者不能以為使用晶片卡就萬無一失,最基本要做到維持防毒軟體及作業系統在最新更新狀態。

銀行公會金融業務電子化委員會副主任委員羅安昌認為,實驗者用自己的卡,讓該次交易延遲到未來進行,「用自己的東西玩玩可以」,整個交易過程還有隱藏的安全機制保護,「離把錢轉走還差很遠。」

「不知多少錢會轉走」

 
竹科工程師Jim揭露,晶片金融卡在網路ATM交易有安全漏洞。

竹科工程師Jim揭露,晶片金融卡在網路ATM交易有安全漏洞。

金管會銀行局長桂先農則說,希望有能力破解網路ATM交易安全機制的人,可以向銀行局陳情,該局會進行了解。財經立委羅淑蕾表示:「人家已能破解到這樣,全部破解出來不知道被轉走多少錢,銀行應先做防範措施。」財經立委賴士葆說,若有疑慮,「業者應再增加安全防護。」

arrow
arrow
    全站熱搜

    henry540731 發表在 痞客邦 留言(0) 人氣()