不仅仅是台湾首宗银行遭跨境黑客盗领案，跨境黑客入侵各地的ATM，渗透超过100家银行，至少有30个国家及地区受害，窃取的金额，大约已有3亿美金，且迄今悬案未破。那么，黑客究竟是如何攻击的？本文试图还原整个事件过程，作者系360追日团队。

| 前言

2016年7月中，我国台湾地区的台湾之一银行旗下20多家分行的41台ATM机遭遇黑客攻击，被盗8327余万新台币，目前该案已经破获，抓获犯罪嫌疑人并追回大部分被盗款项。360追日团队对这起针对ATM机的黑客攻击盗窃事件进行了分析，还原了整个事件的过程，分析了黑客攻击手法和过程，并据此提供了安全建议。

| 事件过程

台湾之一金控旗下之一银行（First Bank）是我国台湾地区（以下简称台湾）的一所大型商业银行，该行于6月初推出无卡提款服务。（以下部分内容摘自台湾媒体的公开报道）

2016年7月11日：

台湾警方接到市民报案，表示看到有人在操作ATM时，行为怪异，随即ATM有不明吐钞情况。

2016年7月12日：

之一银行发布公告《之一银行ATM遭异常盗领客户权益不受影响》表示“之一银行部分分行ATM提款机遭异常盗领，作案过程约5~10分钟，交易集中在7月9日和7月10日，目前本案共计遭盗取的金额约7000多万新台币，20家分行共34台ATM发生异常，目前已紧急报警处理。初步了解可能遭植入恶意软件驱动吐钞模块执行吐钞，都是德利多富（Wincor）公司的同一机型（pro cash1500机型），目前该款机型已全面暂停服务。”德利多富（Wincor）的产品涉及银行业及零售业，在银行业包括现金类自助设备和非现金类自助服务终端及其解决方案，代表硬件产品如自动取款机、存取款一体机、多媒体服务终端、存折打印机等；业务遍及130多个国家和地区。而在这起台湾劫案中，被歹徒攻击的ATM其实是老旧机型，在ebay拍卖网站上只要1475美元就能买到。

后经之一银行清算核实，全台共有41台ATM遭到盗领，被盗金额8327余万元。这是台湾首宗银行遭跨境黑客盗领案。

2016年7月17日：

台湾警方通报称，通过调取监控录像等手段，锁定该案16名嫌犯及1名关系人均来自境外，其中13人已离台，并于17日在宜兰抓获主犯拉脱维亚籍男子安德鲁，当晚又在台北抓获罗马尼亚籍和摩尔多瓦籍共犯各一人，追回赃款6050万元。经查，这伙嫌犯自7月6日起以观光名义分批从土耳其、中国香港等地进入台湾，9日至11日分别到台北市、新北市、台中市等地，以1人至3人为一组，利用木马程序入侵之一银行ATM，然后通过通讯软件远程遥控ATM自动吐钱，其余同伙则负责领钱、把风。犯案后，13名嫌犯迅速离台。已追回的6050万现钞，被存放在台北车站，嫌犯通过“情报秘密传递点”（dead drop）的方式将部分现金以“行李箱寄放”的方式存放。17日晚间，台湾当局“警政署长”陈国恩表示，跨境黑客入侵各地的ATM，渗透超过100家银行，至少有30个国家及地区受害，窃取的金额，大约已有3亿美金，且迄今悬案未破。

2016年7月18日：

台湾《联合报》报道称，调查局新北市调处安全人员查出有恶意程序通过一银英国伦敦分行，侵入台湾总行。警方已约谈之一银行伦敦分行信息主管、之一银行台湾信息部门负责人及ATM厂商总部代表等3人，为查清是否有内鬼参与盗领案。在当晚10点召开的记者会上，新北市调查局指出，之一银行的ATM机器程序更新，是由内部下发主机、服务器自动下发到各ATM。7月4日，入侵者仿冒更新软件并下发至之一银行各ATM，开启ATM远程控制服务(Telnet Service)。直到7月9日入侵者再远程登录，上传ATM操控程序后，执行测试吐钞开关，经“钱骡”测试成功后，藏身在海外的幕后操控者，就开始大规模远程遥控进行吐钞，由各就各位的“钱骡”领取赃款。完成盗领后，远程操控者再将隐藏控制程序、纪录文档、执行文档全部清除。调查人员同时给出了之一银行被攻击的流程图，具体如下：