10/10 長週末假期, 台灣爆發大幅盜領存款事件, 在媒體報章上大幅報導, 當然也造成存款戶人人自危, 憂心自己帳戶的錢會不翼而飛, 但如果大家能認識這樣的犯罪手法, 可以避免這樣的問題發生.

先談談犯罪方式. 一些無人銀行的設立, 確實方便了夜歸者, 銀行停止營業時方便客戶座提款, 存款, 轉帳等常用銀行服務, 但也衍生流浪漢入內過夜, 甚至點火取暖造成火災的事件, 因此一般無人銀行都設有簡單的門禁機制, 客戶刷金融卡作為門禁卡使用, 只要能讀到卡片上第一碼的資料即可開門, 一方面可以非相關人士進入無人銀行, 對客戶在行內的安全也有限度的保障.

磁條卡片在市面上銷售已久, 所以門禁讀卡機讀卡機價格相當便宜而且構造簡單, 再加上讀卡機作用只限於開門控制, 因此也不會連線到後端電腦做紀錄, 由於長期缺乏管理, 造成銀行管理上的漏洞.

一般說來, 歹徒在無人銀行門禁讀卡機讀頭上安裝側錄裝置, 把讀卡機讀到的號碼露在記憶晶片上 (例如 flash ROM等), 這需要打開門禁讀卡機, 安裝側錄電路板, 隔一段時間後,再拆回解讀. 這時一段時間提款卡卡號就被截走.

至於密碼, 則使用針孔攝影機側錄密碼輸入和提款機操作, 或聽按號碼語音聲音辨識, 或者是裝假鍵盤擷取號碼. 然後根據這些資料做成複製卡, 再盜領存款.

遇到這樣的犯罪型態, 要如何防範呢? 就銀行方面來說, 門禁讀卡機有其一定的效用, 一般讀卡機都有內建蓋開偵測裝置, 只要有人拆下讀卡機並且拆下外蓋, 就會送出信號. 但現有的銀行門禁讀卡機並沒有連線, 因此門禁讀卡機被拆開動手腳時銀行並不知道. 所以銀行需要把門禁讀卡機連線, 並且有問題時立即派員到現場處理.

至於密碼保密的部分, 針孔攝影機需要經常性的偵測, 可掃描 2.4GHz 波段看是否有裝設, 使用客戶這可以在輸入密碼時用手或紙張遮掩. 至於解讀按鈕聲音, 目前提款機將按鈕聲音輸出改為多的按鍵同一個聲音 (比如147同音, 258同音, 369 同音) 或者是都輸出相同聲音, 但部分較老舊的提款機則沒有修改. 至於假鍵盤, 除了銀行加強巡邏和檢查外, 可以看鍵盤的介面是否有異樣 (如歪斜, 突出, 或操作不順, 需大力按下才會有反應等). 這時可立即按下取消退出, 並通知銀行處理.

就一般正常操作方式, 要如何防範時, 筆者建議可挑選穿牆式提款機取款. 因為金融卡除了提款機外, 沒有任何機會讓卡片上的磁帶資料被讀出, 而且目前也沒有任何方式可以在不接觸磁頭的情況下讀出磁帶的資料. 只要你的金融卡磁帶不去讀提款機以外的提款機, 就不用擔心會有側錄的情況. 如果真的無法選擇非得進入有門禁管制的無人銀行, 則可以將讀卡的卡片讀到三分之一或一半就取出, 因為一般未連線的無人銀行門禁讀卡機指讀取金融卡片的第一個碼, 所以不需要將卡片從頭刷到尾, 這樣就算裝有側錄的讀卡機, 擷取的資料也不完整, 但門禁讀卡機依然可以開門.

當然, 新的接觸式IC金融卡是徹底解決問題的方式. 由於接觸式 IC 屬於 CPU等級, 因此一般的 IC 卡讀卡機根本無法解讀出正確的資料, 因為相關資料在資料交換時都會進行加解密運算, 想要破解內部資料機會只能用不可能來形容. 只是可以接受 IC 卡讀卡機的提款機目前還不多, 使用的便利性不高, 不過經歷這次盜領事件後, 應該會加快腳步進行.

其實這次盜領事件後, 無人銀行的門禁讀卡機應該拆除或者是增強安全機制, 但一些基本原則掌握好, 就不怕被偷竊.

10/14 晚上, 財政部通令所有無人銀行的門禁管制全部取消, 除非盜領集團可以入侵提款機讀卡部分, 否則客戶的卡片資料便可以確保. 但正值氣候轉涼, 無人銀行又可以讓流浪漢有一個舒適溫暖的過夜地點 (因為提款機使用電力, 會產生相當熱量). 但至少客戶的提款卡如果平時只待在客戶口袋或家中, 不會再提款機以外的地方讀卡, 客戶的帳戶安全可以確保.

隨著盜領集團的陸續破獲和罪犯的逮捕, 這個事件可以告一段落. 財政部也宣佈台灣的銀行第二代 IC 晶片卡更換進程也推前到明年六月完成. 一向推動金融卡片晶片化的財政部, 原先對銀行的消極因應十分無力, 正好趁這次事件加速完成目標.

這裡面相關的議題值得我的討論和關心, 因為台灣已經邁入進步國家之林, 大家的生活和銀行等金融單位息息相關, 先談談現有磁帶一些相關課題.

當國民黨立委大呼現有的磁帶金融卡已經落伍, 說先進國家都更換, 但這樣的說法根本是外行充內行的語言. 接觸式 IC 卡片先由歐洲發行, 但由於亞洲各國, 尤其是台灣和東南亞國家, 對冒用磁帶金融卡片的犯罪日趨嚴重, 反而在 IC 卡產品的服務推動上領先歐美先進國家. 基本上這要取決於銀行和政府相關單位的態度和現實環境的需要, 因為全面更換銀行卡片系統費時費力而且花很多錢, 銀行一向以利潤掛帥, 因此大量投資的設備更新除非有更迫切的需要, 一般銀行不是配合意願不高, 不然就是沿用舊制.

日前收到美國銀行的提款卡和達美航空 (Delta Airlines) /美國運通的聯名白金卡都維持磁帶, 但有加強安全機制, 這是因為美國這個類型的犯罪不高, 再加上金融機構使用 ATM 卡片很早, 部分行庫的提款機也十分老舊, 因此 IC 卡推動上也面臨相當的問題. 另外美國對支票和信用卡的使用特別發達, 現金交易佔一般商業活動比例就比歐洲和亞洲低, 再加上網路交易發展十分的廣泛和迅速, 現金交易的比數更加縮小, 更使得晶片卡在美國的推行更是不易. 因此磁帶卡片不但沒有落伍, 反而會維持一段很長時間. 所以尖端科技的產品有時在市場上反而不容易被接受.

當然, 大家現在仍在疑慮台灣的銀行磁帶金融卡是否安全, 可以跟大家說的是, 還是很安全. 只要自己磁帶上的資料沒有去銀行以外的地方刷, 基本上還是安全的. 尤其無人銀行門禁的取消, 使得盜領集團無法讀取卡片號碼. 如果有機會煥用 IC 卡, 則更可以保障自己帳戶的安全. 除非盜領集團拿到你的 IC 卡並知道密碼, 則不用擔心帳戶會被盜領.

至於盜領集團會不會截收銀行金融專線資訊做冒領用途, 則可以不用擔心. 因為提款機和銀行資訊中心之間的通訊都有加密, 而且線路經常檢測, 所以短期內不需要擔心這樣的問題.

接下來要談談 IC 卡的事情. 為何 IC 卡能夠保障客戶的權益? 先要說說接觸式 IC 卡的種類和運作方式. 現有的 IC 晶片卡初步區分可以分為 memory card 和 CPU 卡. Memory card 功用是記錄資料, 可重複讀寫, 功能只有這樣, 加密程度只有在讀卡機運算. 例如 Starbuck 的咖啡隨行卡就是. 這類的卡片構造簡單, 價格便宜, 一張卡片的成本大約只有20 元左右.

而金融界使用的 CPU 卡, 則是在卡片晶片上內建 CPU, 並且有作業系統程式, 還有資料儲存區. 當 CPU 卡在使用時, 卡片和讀卡機之間的資料交換會經過運算加密和解密的程序, 由於卡片上有 CPU, 因此雙方的資料交換可以經過多重運算後才能了解其中的資料交換.

以現有的金融卡密碼來說, 在插入IC 卡, 鍵入密碼後, 會在 ATM 和卡片上執行運算, 產生一組認證碼, 會透過金資網送到開戶行驗證. 以現有的金融 IC 卡來說, 會經過三次的加密運算才能解碼, 而且在讀卡機和卡片上都有執行運算. 至於晶片儲存的認證碼, 晶片的設計只能寫入不能讀出, 所以認證碼只有銀行的設備才有儲存, 而且相關的認證碼可能只是幾組不相關的數字, 可以透過數學運算和排列組合才能形成, 也就是說, 認證碼不會完全攤在人員面前. 操作人員只知道, 將相關資料輸入製卡機器, 卡片就能製作出來.

至於有人問是否可以搭配生物辨識方式 (如指紋, 臉孔, 虹膜, 甚至是 DNA), 目前在國外都有推行, 但是不普遍. 一般說來生物辨識的片是失誤率 (非本人曚混過關) 很低, 但是錯誤率 (本人但被認定為非本人) 卻相當高, 造成操作上的不便, 另外在認證時的操作失誤 (例如手指受傷或機器骯髒, 臉部包扎, 扎眼嚴重) 也是問題. 更重要的是, 生物辨識的產品價格都相當高, 維護也不容易, 這是銀行部願採用的主要原因.

無人銀行的監控

無人銀行的監控部分, 這牽涉到銀行的作業方式和做法. 以目前台灣金融業界的兢爭, 因此監控只是寥備一格而已.

自去年以來, 數位錄影機 (Digital video recorder, DVR) 在價格或大幅價低並且在性能上更加精進, 先有的 DVR 在監控上可以採用移動影像偵測和開門觸發迴路, 透過網路將影線和觸發信號送到遠端的監控中心做監看的動作. 不過這牽涉到銀行的營運成本, 因此這樣的遠端監控中心到現在沒有任何一個銀行在做, 負責無人銀行填補鈔作業的保全公司也缺乏這樣的動作, 原因也是因為成本的d考量, 因為客戶不會為監控中心多付出費用.

但目前由於提款機的攝影器材大多是老舊的錄影帶, 雖然財政部在金融業法中規定銀行須保留六個月以上的影像記錄, 但由於錄影帶重複使用次數過多, 再加上錄影機磁頭磁化和缺乏清理, 導致錄下的影像不清楚也無法辨識歹徒真實身分. DVR 由於影像檔案都是存在硬碟, 而且可以透舵網路穿送, 也有附加燒錄機燒錄影像讓使用者參考, 這些好處開始讓銀行開始認真考慮大量換裝 DVR, 錄影帶則逐漸的被淘汰.

下面是我在外獨回映的部份, 可以供你參考.

無人銀行的門禁是有由來的, 曾經訪談過台灣最早做無人銀行的一些人.

這是台灣的保全公司, ATM 生產廠商和銀行合作成立無人銀行, 便利性是最初的考量. 店面不需要很大, 電力空調設備安裝, 成本比一般有人銀行低廉, 沒有停止營業時間, 只要每隔幾天派員去填補鈔, 維護機器, 更換收據紙卷等簡單工作.

http://yam.udn.com/yamnews/daily/1627630.shtml
盜領猖狂 思考「簡約過生活」


記者林宛諭／豐原報導
2003/10/20

http://fe40.udn.com/yamnews/MEDIA/1627630-657631.jpg
盜領集團嫌犯宋仁照就是在豐原市圓環南路這家銀行櫃員機盜領時被逮到，歹徒大多選擇入夜後人少、燈光較暗的地點犯案。
記者林宛諭／攝影

偽卡盜領案恐怕短時間內仍難善了，在逃歹徒手中還有上千張偽卡，誰是下一個受害者都不知道，不少民眾已重新思考是不是不要過度依賴金融卡、信用卡「簡約過生活」，而警方辦案時，部分金融、電信公司有「休假心態」，也影響警方破案速度趕不上歹徒犯案的猖狂。

偽卡盜領案讓社會大眾人心惶惶，金融單位呼籲民眾最好經常更改密碼，不過多數人仍認為更改密碼還是防不勝防，而且每張卡的密碼若一樣，仍可能被盜領，若每張卡密碼不同，到時記不住密碼，領錢時很容易被「吃卡」。

銀行人員也發現，盜領案擴大後，這幾天推展辦卡的業務員「到處碰壁」，因為大家開始有危機意識，尤其辦現金卡，資料若入歹徒手中，損失的還不只是帳戶裡的錢。

警方也認為，愈複雜、多用途的卡被歹徒利用的機會愈大，尤其目前部份電腦軟體、電腦高手，容易從網路上蒐集調資，料成為犯罪工具，所以有人開始認為「卡愈少愈好，愈簡約的生活愈安全」。

還有一種自保之道是再開一個帳戶，不要申請任何金融卡、不要使用任何網路連結，把較大筆的資金存入沒有辦金融卡的帳戶比較保險；不過警方認為，若是智慧型犯罪，即使沒有金融卡，歹徒一樣能進入帳戶資料，除非銀行願意投下巨資改良保密、安全防護工作。

讓警方頗有微詞的是「銀行有休假心態」成為歹徒的犯罪漏洞，在銀行無法提供給警方詳細被盜領受害人資料、凍結被害人帳戶等情況下，讓歹徒得以從容地從我國機場飛出境外，犯罪首腦也許正在彼岸搖控犯案。

-----------------------------------------------------------------------------------------
又一個「照」不住的蠢點子.........本報記者郭文平

財政部為防堵智慧型金融犯罪果然是絞盡腦汁，昨天又想出新點子，要求未來存款戶開戶要「拍照存證」。只不過，面對這項應是古今中外首度的創舉，國內民眾不禁要問，數位相機拍照到底與防止人頭帳戶有啥關係？現在開戶核對的身分證上面，不就有照片了嗎，為何還要多此一舉拍新的照片存檔？

從金融卡盜領案件發生以來，主管機關與銀行想出的辦法，從要求存戶常換密碼、領錢時最好遮住密碼、銀行減少每日領錢的額度：到現在偏遠地區、深夜要關閉自動提款機，及未來開戶要拍照等，許多思考仍然無法全然從存款戶角度思考。

如今，民眾進自動櫃員機提款，要左顧右盼，遮遮掩掩，不知道是去「領錢」還是去「搶錢」。以後開戶還要拍照，民眾看到的只是主管機關、金融機構一路在「懲罰存款戶」，官員、銀行沒人敢出來說自己應該負責。

方法提出來，不見得就是「寶」，開戶拍照真的就可以防止人頭戶開戶，外界可能有很大疑問。有心人士要欺騙，化個妝、換個髮型，即使有照片一樣很難分辨。防範金融卡盜領，最重要是源頭如何防制，歹徒盜取民眾金融卡資料，領到存款戶的錢，要怎麼去「洗錢」，方法多得是，根本不差人頭帳戶這一種。

拍照的想法效果有限，跨部會小組還要財金公司研擬偏遠、深夜地區自動櫃員機要限制提領及轉帳功能。這點說起來更令人匪夷所思。家住在偏遠地區、習慣晚上出沒的夜貓族，人權不知道又要被踐踏到到什麼程度？或許主管機關真正想說的是，大家最好不要住偏遠地區，晚上最好乖乖在家，免得到時候領不到錢。

案例

張先生是個社會新鮮人，每天省吃儉用勒緊褲帶，就是為了存老婆本。單身許久的他好不容易交到第一個女朋友，為了方便接送女友下班，張先生決定買下生平第一台車。當他選好車也簽下合約，準備領錢付訂金時，竟發現戶頭裡只剩下7塊錢，50多萬元存款全不翼而飛。毫無頭緒的張先生補摺後才發現，自己的錢已被分批盜領光了。

回覆

最近大家聞之色變的提款機盜領案，其實也是一種智慧型犯罪。一般而言，歹徒都是在門禁刷卡處設置卡片側錄機，接著在提款機上裝設針孔攝影機，以拍攝受害者的密碼，最後再持偽造的金融卡前往提款機盜領受害者的積蓄。

基本上，這樣的方法已觸犯一連串的法律。裝設側錄機以製作偽卡，違反刑法第201條之1的偽造金融卡，可處1年以上、7年以下的有期徒刑。偷拍受害者的密碼則違反刑法第315條之1，無故以錄影竊錄他人非公開活動，可處3年以下的有期徒刑。至於持金融卡盜領的行為，則違反刑法第339條之3的詐欺罪，可處7年以下有期徒刑。

台銀金融卡事件引發社會不安，焉知非福，全民對金融卡安全保持高度關心，但包括金融主管、銀行業者和犯罪防治專家提出警訊：消費者要有長期抗戰的心理準備，人人有責。

聯合報系昨天舉行一場「金融資訊安全座談會」，與會者包括財政部金融局主秘范正權、銀行公會內部管理委員會副主委張明文、中央警察大學資管所所長陳志誠、國泰世華銀副總饒世湛、3M光學產品事業部經理魏銘宏等，與會者不約而同將焦點集中在這次台銀金融卡事件及後續注意事項。

3年前就曾參與過信用卡會議的陳志誠提出的警告，以目前金融卡側錄製成偽卡、盜領存戶存款事件，目前金融卡犯罪，就是以前信用卡犯罪者的「轉行」。

而3年前信用卡偽卡猖狂的程度，曾造就了「台灣第一」的新紀錄，一年損失金額高達30億台幣，但是在各銀行努力下已有明顯改善。饒世湛說，以該行為例，每位信用卡持卡人刷卡至少通過兩道檢測，一道是聯合信用卡中心提供的異常交易警訊，第二道是該行自行發展的警示，並在客戶刷卡時以簡訊或是電子郵件，在第一個時間通知客戶，現在該行信用卡偽卡率已從高達7%的高點降至萬分之三，而市場平均水準為千分之1.5。

儘管主管機關在金融卡側錄盜刷存款一事，採取了不少措施全面防堵，金融局主秘范光權比較擔心的是，還不知道有多少偽卡或是資料流落在外，必須先找到人，查扣已製成的偽卡，才能防範類似事件發生。