金融恐襲殺埋身

近日金管局公布四家大型銀行(包括三家發鈔行)客戶的證券戶口遭非法入侵,惹起恐慌。熟悉「深網」(Deep Web)黑客界消息人士透露,先前的攻擊只是某個亞洲黑客集團的「實力示範作」,黑客並已埋好班準備真正「大茶飯」,矛頭直指各國央行及跨國銀行。換言之,新一輪更大規模的國際「金融恐襲」已經迫在眉睫。

非法動用資金飆六倍

科技界消息指,該亞洲黑客組織為數約十人,成員來自中、日、韓三地。近月有人在「深網」招攬具入侵網銀能力的黑客高手,並要求這批黑客示範,隨後香港便發生連串網銀戶口入侵事件。至五月下旬的短短約一個月,香港銀行證券戶口遭非法動用的資金飆近六倍至4,590萬元,涉及至少22個帳戶。

黑客進行招攬活動的地方「深網」,並不為一般人所悉,深網屬非公開網站,只有小部分網絡高手可從秘密路徑進入,深不見底的網絡世界中藏有被盜的信用卡資料、企業機密資料等,包括揭露各國政要機密的巴拿馬文件,成為隱蔽金錢交易的溫床。

深網內再深一層的「暗網」(Dark Net)更有訊息加密功能,需要以特定搜尋器(如TOR)才能進入。

金管局拒評系統事宜

外國研究機構調查顯示,網絡罪行每年令全球經濟帶來高達5,750億美元(約4.48萬億港元)損失。到二○一九年,有預測更指網絡相關罪行會為企業帶來高達2萬億美元(約15.6萬億港元)的損失。

據悉今次這批亞洲黑客攻擊對象,還包括國際匯款網絡SWIFT及支票結算系統。早前已有黑客經SWIFT終端機入侵銀行系統,令孟加拉央行被竊8,100萬美元、厄瓜多爾銀行Banco del Austro SA被竊1,200萬美元,其中孟加拉央行的損失來自外儲,該國央行行長拉赫曼最終引咎辭職。目前懷疑受影響的外國銀行已增至12家,香港銀行亦出現兩宗可疑個案。

事實上,部署攻擊國際金融網絡的不只這批亞洲黑客。另一知名黑客組織「無名氏」早於五月初便宣稱向中國人民銀行及香港金管局等158家央行發動攻擊,另美國地方聯儲銀行、國際貨幣基金組織、世界銀行亦在攻擊名單上。

據悉,金管局於上月初已得悉成為黑客攻擊對象,並加強其網絡保安,至今系統未受影響。金管局回應本報查詢時指,不會評論其資訊科技系統的個別安全事宜。

黑客早前的「熱身示範作」,港銀疑慘變黑客「實驗品」,港銀最擔心的是受DDoS攻擊(分散式阻斷服務攻擊),尤其是防衞能力特別薄弱的中小銀行。

有中小型銀行主管亦承認,網銀今年不時受DDoS影響,客戶或感到系統操作緩慢、甚至暫停,不但有損聲譽,而且受攻擊時,部分銀行保安尤其真空,黑客「自出自入」,難料會在系統動甚麼手腳。

保安服務供應商CSC業務拓展經理陳俊亨指,當銀行網站遭DDoS攻擊時,全隊IT人員均「趕去救火」,加上防火牆等基本網上設施亦會被攻破,網站出現保安真空,黑客便會乘機入侵網銀客戶的銀行及證券戶口系統,竊取重要資訊及擅自調動資金進行未經授權的交易。

金管局早前公布銀行「網絡防衞計劃」詳情,預計年底推行。然而,面對近期網絡攻擊風險激增,部分港銀近月已急不及待自行加強保安,包括登入網銀證券戶口時引入雙重認證的程序。據悉,銀行雖樂意加強網絡保安,但對金管局建議證券戶口強制引入雙重認證及驗證碼的舉措,近期有部分銀行界人士非常抗拒,因為怕會「趕客」至證券行。

銀行憂雙重認證趕客

為何強制雙重認證會「趕客」?香港投資者學會主席譚紹興解釋,銀行雖嚴限客戶轉錢往獨立第三方戶口,但往往容許客戶在其銀行與證券戶口間較自由調撥資金,網銀客戶買賣證券時,自然不喜歡使用雙重認證等繁瑣程序。

銀行為怕「趕客」而抗拒加強雙重認證等程序,正好讓黑客有機可乘,如此不但香港銀行是黑客的實驗品,港銀客戶更會成為實驗下的犧牲品。