ATM系統的「內鬼」「沒有密碼」的充值卡蘇強

網路安全和網際網路與生俱來。《經濟學人》最近的一項調查顯示，45%的企業高管表示，在企業網路上儲存敏感的客戶資料令他們感到特別不安全。

在談及資訊保安時，人們總習慣將視角投向防火牆、防毒軟體、黑客等外部因素，但不容忽視的是來自內部的網路威脅，正如本文所講述的三個故事。

魔高一尺，道高一丈。種種破壞資訊系統的技術總有相應的制伏之術，而真正危險的是缺乏應對資訊保安的管理機制。管理機制的缺失，使得企業在面對來自內部的資訊威脅時，往往束手無策。

企業應該建立怎樣的資訊保安管理機制？本報欲以本文拋磚引玉，與業界繼續進行進一步**。

接下來的5年時間，即將碩士畢業的蘇強將在監獄中度過。

「被告人蘇強利用為銀行設計、維護atm機軟體的工作之便，從atm機上盜取他人信用卡資訊進行信用卡詐騙案，判處其有期徒刑5年，並罰款5萬元。」6月19日，上海市閘北區人民法院當庭宣判。

實際上，這種內部人利用資訊科技盜取他人錢財的事情在it業內時有發生。2023年6月份，華為公司工程師王林勇利用編寫的程式盜取了70多萬元的移動充值卡。2023年2月，ut斯達康工程師程稚瀚利用之前給**移動安裝系統的機會，盜取了370多萬元的移動充值卡，並**套利。

「所有的資訊系統設定都是基於內部人完全可以信任為前提的。」一直從事資料安全業務的gds萬國資料公司總裁黃偉認為，對外部人侵入系統，尚可設定防火牆等技術手段予以攔截，但這種內部人利用資料資訊犯罪則難以防範，「唯一能做的就是不斷的加強流程、技術上管理」。

atm系統的「內鬼」

2023年8月，大學畢業的蘇強進入一家atm機公司，職務為編寫atm自動取款機軟體工程師，這是他的第乙份工作。

2個月後，蘇強開始為國內股份制商業銀行上海分行臨汾路自助網點安裝、除錯兩台atm自動取款機。精通軟體的蘇強在軟體程式設計過程中很快發現，atm自動取款機的加密程式上有些「bug」，於是，一時興起的蘇強編寫了乙個窺探程式，該程式可以記錄該atm使用者的銀行卡卡號、磁條資訊和密碼，並將這個窺探程式安裝到了兩台atm自動取款機上。「當時只是覺得好玩。」蘇強在法庭上為自己辯解。

「很多軟體工程師都有這種癖好，希望找到系統的漏洞，以此證明自己的技術水平。」黃偉表示。

2023年11月，在對這兩台atm機進行維護的時候，蘇強開啟了自己當時編寫的程式，發現窺探程式竟然記錄了7000多條使用者的資訊。蘇強將這些資訊拷貝到了自己的膝上型電腦上，為了不留下痕跡，蘇強又刪除了自己當時編寫的程式。

但是生活的窘迫很快讓蘇強想到利用這些資料來牟利。2023年9月，蘇強進入上海一所大學攻讀碩士研究生，沒有收入**的他想起了那堆資料。很快，蘇強就開始了行動，從市場上購買了磁卡寫碼讀卡器，又在電腦市場買了空白磁卡，開始偽造銀行卡。

第一張銀行卡製作出來時，蘇強有點忐忑不安，只好讓女朋友前去取錢，他的女朋友就從銀行取出了200元現金。從此，蘇強一發不可收拾，此後的近兩年時間，蘇強如法炮製，先後偽造多張銀行卡，共計提取了6萬多元現金。由於蘇強複製出來的銀行卡，其客戶資訊、密碼完全正確，銀行根本無法辨其真假。

一位客戶在取款時發現卡里莫名其妙地少了4500元，銀行顯示這筆現金是在無錫被取走的，但這位客戶根本就沒有去過無錫，於是他向**報案。此後，上海**也陸續收到了10多位銀行卡使用者的報案，都是卡上的錢莫名其妙地少了。此時，銀行才開始警覺起來。

在配合**辦案的過程中，上述商業銀行的工作人員發現，有人侵入過銀行的**，查詢了200餘客戶的個人資訊，其中包含了被盜用信用卡資金的被害人資訊。很快，**就查到了入侵銀行系統時使用的ip位址，並根據這個ip位址查到了蘇強所在的大學宿舍。

「沒有密碼」的充值卡

與蘇強的手法不同，ut斯達康工程師程稚瀚則是利用自己給**移動施工時留下的密碼，然後隨時侵入此系統以盜取移動充值卡。

2023年3月，華為前員工程稚瀚突然一時興起，想「測試」一下移動系統的安全性，便嘗試性地進入了**移動的網路系統。

從技術上說，程稚瀚進入**移動的系統不費吹灰之力。早在華為工作的時候，程稚瀚就負責給**移動安裝裝置，而程稚瀚離開之後，這個密碼一直沒有改過。

通過**移動的伺服器，程稚瀚很快便進入了北京移動的資料庫，在檢視了資料庫日誌檔案後，精通移動各種系統的程稚瀚很快便反推破譯出了密碼。此時，程稚瀚取得了資料庫的最高許可權，該系統在他面前已經毫無秘密可言。

此後，程稚瀚先後4次侵入北京移動資料庫，修改充值卡的時間和金額，將已充值的充值卡狀態改為未充值，並開始將盜出的充值卡密碼通過**網**，至案發時共獲利370餘萬元。

這個程式可以模擬移動公司製作充值卡的程式，生成手機充值所需要的資料，只要將這些資料中對應的序列號和暗碼匯入移動的充值系統，那麼使用序列號和明碼便可以進行手機正常充值。為了彌補過失，王林勇使用該程式生成了3萬餘組資料，並將一部分匯入移動充值系統，最終使報表顯示正常。

貪念因此而生，一次偶然的機會，王林勇在**網上看到有人**手機充值卡，便聯想起自己當時生產的一些資料還沒有用完，便開始在網上**這些複製的手機充值卡。此後，王林勇又利用給上海移動維護移動智慧型網路系統的機會，將部分資料匯入移動充值系統，然後在**上進行銷售，至案發時，共獲利74萬餘元。

「內部人」難題

「任何乙個系統都是有技術漏洞的。」在黃偉看來，這些內部的「資訊大盜」都是利用了系統本身的漏洞來盜取他人的財物。

從技術上說，就算微軟耗資數十億美元開發的windows作業系統，也存在很多的技術漏洞，這也是微軟要不斷發布補丁程式的原因。蘋果公司最新開發的瀏覽器，在公布的當天就被人找到數十個漏洞。

從外部侵入乙個資料系統，由於有防火牆的防範，其技術難度相對較大，但如果是「內部人」，一般很難防範。就如同中國歷代皇朝，都在宮城牆外建了很多護城河，布設眾多御林軍，外人很難侵入，但仍無法阻止宮廷內部謀權篡位事件。

一提到網路安全，一般的公司想到的防火牆、入侵檢測、資訊加密等安全產品，但是絕大部分系統仍然防外不防內——企業在網路安全方面的建設絕大多數還基於「內部行為是可信賴的」這一假設，這使得內部安全疏於防範。

「內部人一般都知道系統的密碼，也比較了解系統的漏洞。」長期從事資訊保安工作的黃偉在工作中也不斷聽到一些公司內部人盜取資料，然後牟利的事情。

據黃偉介紹，在比較規範的公司，一般涉及核心資料和密碼時，都會安排雙人同時在崗，並且要求客戶在場，密碼在施工完成後都要求客戶進行修改。但一些公司對這些管理流程並不規範，才使得一些內部人有了可乘之機。

ATM系統的「內鬼」「沒有密碼」的充值卡蘇強

ATM出鈔模組的控制系統設計

忘記系統密碼的處理

攻擊ATM機的木馬出現使用者銀行卡密碼面臨安全威脅

ATM系統的「內鬼」 「沒有密碼」的充值卡 蘇強

ATM出鈔模組的控制系統設計

忘記系統密碼的處理

攻擊ATM機的木馬出現 使用者銀行卡密碼面臨安全威脅

相關推薦

ATM系統的「內鬼」「沒有密碼」的充值卡蘇強

攻擊ATM機的木馬出現使用者銀行卡密碼面臨安全威脅