【遠東銀行遭駭追追追】權限控管超級重要！駭客入侵遠銀關鍵，就是這兩組帳密遭盜

綜合金管會和McAfee的分析，可以推測，正因駭客取得最高權限的帳密，又能連線到沒有採取實體隔離的SWIFT伺服器，攻擊者才能進一步控制SWIFT系統。這2組帳密正是遠銀遭駭盜轉事件的關鍵。（圖片來源／Chef）。

遠東銀行遭駭盜轉18億元案發至今，雖然超過9成9的款項都已追回，但對企業IT部門、銀行CIO或資安圈而言，更重要的是找出駭客入侵銀行的手法，才能從中學到教訓，避免自己成為下一家的受害企業。但是，駭客如何入侵遠銀的細節，刑事警察局遲遲沒有透露更多細節，而臺灣參與調查的資安公司也因保密協定，而拒絕透露更多處理過程。

倒是，國外資安公司McAfee兩名資安研究人員，在12日發表了一篇「偽勒索軟體在台灣銀行搶案中的角色分析」一文，詳細透露了，他們分析遠東銀行一支惡意程式木馬後的結果，從程式碼中找到了2個遠東銀行的網管帳密，這正是駭客可以進一步入侵SWIFT系統的關鍵之一。
發表這篇分析的是McAfeeg首席工程師和科學家Christiaan Beek，以及McAfee網路安全部門院士兼總科學家Raj Samani。因為有位參與了遠銀入侵事件調查的不明人士，將一支惡意程式樣本上傳到了線上掃毒服務Virustotal，也讓這個惡意程式樣本曝光。McAfee正是取得了這個惡意程式樣本才能進行這次的分析。

刑事警察局早在在10月5日傍晚接獲遠銀報案後，就查扣了SWIFT系統、電腦主機等，13日時透露，已經從11個可疑程式中找出了6個惡意程式，但刑事警察局只有簡單描述這批惡意程式的功能，包括了散布、加密及遠端遙控功能，除了感染遠銀內部電腦，也會蒐集相關情資進行回報，並且加密部分電腦的檔案資料。刑事警察局以偵察不公開為由，只有簡單幾句話的說明，沒有透露更多細節，對於駭客如何入侵遠東銀行的管道也三緘其口。

反倒是根據McAfee最初接獲的消息（另一個McAfee沒有說明的來源），駭客入侵的起點，是一封附件藏有後門的釣魚郵件。

《全文請見iThome（https://www.ithome.com.tw/news/117520）》