还原盗领案 一银5月起便遭锁定入侵多次
▲跨国盗领集团其实早在今年5月,便锁定第一银行ATM,计划进行盗领。(图/记者杨佩琪摄)
侦办第一银行盗领案,检警发现一银早在今年5月便遭跨国盗领集团盯上漏洞,1个月时间布署,派出包括安卓斯在内22名车手入台进行测试、盗领、洗钱等事宜,总计41台ATM遭入侵。要不是热心的蔡姓夫妻档发现报案,盗领金额更高。
检警清查发现,包括拉托维亚籍安卓斯在内,来台车手共有22人,且分工细腻,6组人马负责盗领,由俄罗斯籍的巴比担任「车手头」,安卓斯、米海尔(罗马尼亚籍)、潘可夫(摩多瓦籍)、洛夫斯基(俄罗斯籍)、莎琪苏娃(俄罗斯籍)、保罗(法国籍)和后续曝光的雷纳斯(拉脱维亚籍)负责搬运、洗钱事宜。
进一步追查,其实早在今年5月31日,主谋便发现一银伦敦分行可同时连接网际网路,与一银内部网路的电话录音主机存在漏洞,也发现一银所使用的提款机,大多是德国制「ProCash1500」型,该型提款机吐钞模组的运用与操控早已遭到破解,当晚一银伦敦分行电话录音主机电脑便已遭到入侵。
接下来一连串盗领「事前作业」展开。今年6月28到7月4日,集团以伦敦分行电话录音主机为跳板,入侵一银内部网路负责「ProCash1500」型的电脑程式更新派送暨监控应用程式伺服器,以刺探电脑资讯、建立与变更使用者帐号资讯、包装附档名为「dms」的封装档共33个,选定台北市、新北市、台中市3地共41台ATM,作为盗领前准备。
6月30日便有集团成员入台,凌晨2点多,选定台北市万华第一银行西门分行进行测试,晚上9点多,一名身分不明男子前往台北市万华西门分行观察ATM吐钞口开阖,同时以手机回报,确认植入恶意程式是否可行。
7月5日,集团再度入侵一银内部网路,针对一银另一系列,由NCR公司生产的ATM,进行进行电脑程式更新派送,并将4款恶意程式「cnginfo.exe」、「cngdisp.exe」、「cngdisp_new.exe」和「cleanup.bat」程式植入,届时一银的ATM将会在连线至NCR伺服器后,从ftp下载。
紧接着,7月8日,包括巴比在内车手陆续入台,7月10日凌晨12点开始,分组执行盗领。主谋负责以一银伦敦分行电话录音主机为跳板,以Telnet远端登录服务与ATM电脑连线,输入事先准备好的管理者帐号密码,侵入41台ATM,执行恶意程式、干扰ATM电脑和模组状态,使得ATM能在未经电脑与一银帐户系统连线稽核状态下便能吐钞。
7月12日,集团最后一次入侵一银内部,为的是彻底删除程式与电脑指令、电磁纪录,以及针对伦敦分行电话录音主机硬碟的电磁纪录进行删除。至此,被盗领金额一共8327万7600元。