【靠彩數】三無印度銀行 中門大開損失百萬盧比
印度一間蚊型銀行竟然棄守網上業務,無正版防火牆、無反釣魚電郵工具,更不用說會安裝入侵偵測系統。結果銀行於去年 11 月被黑客入侵,網絡罪犯利用 super users 帳戶開新戶口存入盜取的款項,再於全國 938 部 ATM 提款卡撳走「存款」,輕輕鬆鬆完成入侵任務。
銀行屬於高風險行業,實體店有可能被打劫,網上銀行亦有可能被網絡攻擊,所以管理層必定會做好防禦工作,例如聘請護衛、安裝網絡防禦工具。不過,印度一間只得 45 間分店、總存款只得 4 億盧比(約四千多萬港元)的蚊型銀行 Mahesh Bank,管理層不知道是心口有個勇字抑或心存僥倖,竟然未有做好網上防禦工作,於事故發生後的調查期間多次令警方感到震驚。
警方解釋事件來龍去脈,發言人指出事故發生在去年 11 月,攻擊的起點是黑客在三天內向銀行職員發出超過 200 封釣魚電郵,亂槍下終於有一個職員上檔並安裝了夾附的木馬軟件,讓黑客可以遙距入侵銀行內部網絡。由於銀行方面未有將總行及分行的網絡區隔,因此黑客在建下立足點後,基本上便可以在內部系統隨意瀏覽。除此之外,警方指出銀行未有好好管制超級用戶的數量,在調查過程中發現超級用戶帳戶竟然多達十個,而且部分更採用非常簡單的密碼,所以入侵的黑客不單只可以讀取銀行客戶的存款帳戶,更可以開啟新的帳戶將約 100 萬盧比賊贓轉移,最後再於全國提款機提走賊贓,輕鬆完成整個攻擊。
印度警方在調查後表示,雖然已及早發現入侵活動,並成功凍結 200 萬盧款項,但依然對銀行的網絡安全狀況感到震驚。事實上,在銀行多年來中門大開的態度下,現時才有犯罪集團找上門已算奇蹟。這次事件的主角是小型銀行,相信管理層與其他小企業老闆一樣,誤以為規模小不會被黑客看上,不過黑客也會捨易取難,因此無論是大中小企業,都會各有捧場黑客,千萬不可心存僥倖。
相關文章:【漏網之魚】Google Play Store又失守 SharkBot銀行木馬扮防毒軟件上架
https://www.wepro180.com/playstore220309/