黑客入侵花旗ATM窃取用户PIN

根据最新披露的美国联邦法院文档，黑客入侵了花旗银行设在7-Eleven超商的自动提款机(ATM)网络，窃取客户的个人标识号码(PIN)，再度凸显金融交易出现严重的安全漏洞。

这起客户数据遭黑客盗窃事件发生在去年10月至今年3月间。花旗在全美7-Eleven设有约5，700台自动提款机，这些机器属于休士顿 的 Cardtronics公司，由Fiserv公司负责维护。当前不清楚有多少花旗客户受到影响，但该银行事后已主动通知部分客户更换提款卡。

美国纽约南区地方法院今年3月以共谋诈欺起诉三名被告，检察官说，他们藉此至少不法获利200万美元。但对消费者而言，更严重的是犯罪分子竟能通过攻击提款机的后端计算机系统，获取在金融交易过程理应受到严密保护的PIN码。
该案也凸显一个重大问题，即黑客把攻击目标转向自动提款机的系统结构。这些结构日渐采用微软的窗口操作系统，可让机器在网络上进行远程诊断和维修。

尽管产业标准要求对PIN码进行强大的加密保护以防数据外泄，但部分操作人员没有按照规定行事。这些PIN码可能是在自动提款机与后端计算机传输数据的过程中外泄。

顾能公司(Gartner)分析师李坦(Avivah Litan)说:「PIN码的防护应该固若金汤才对，但本案显示PIN码的加密防护措施不足。银行需要更完善的诈欺检测系统与有效性手续。

本案的侦查重点之一，是黑客如何渗透网络系统。当前已知他们是通过第三方数据处理业者的服务器入侵ATM网络。他们也可能利用网络安全漏洞或破解计算机密码，而获取机器的管理员权限，甚至在银行的服务器植入恶意软件，在用户输入PIN码时截取数据。

如此一来，客户的PIN码常可在不被窜改的情况下，神不知鬼不觉遭窃取。以往不法分子偷窃密码的方法较容易引起注意，例如发送钓鱼信件，或在提款机上安装伪造的按键与照相机。