蘋果日報日前指出臺灣晶片金融卡交易安全機制出現漏洞，原稱無法被複製、偽造的晶片金融卡，在網路ATM交易時會洩露驗證資料，還能藉此偽造「未來交易」騙過銀行，若駭客製造木馬程式病毒發動攻擊，將造成用戶受害。

　　經技服中心同仁分析後表示，傳統ATM和網路ATM最大的差別在於，傳統ATM為一台鐵盒子，自讀卡機、終端機、螢幕、按鍵及網路連線，都由銀行提供，一般人無法竄改ATM的軟硬體設備。然而，網路ATM的情境中，自讀卡機、電腦、作業系統、瀏覽器軟體都為使用者自行準備，因此任何一個環節發生失誤就會有很大的風險，在新聞中所使用的手法，可能性是相當高的，也就是說，網路ATM確實存在這樣的漏洞，而恰巧部分銀行業者的驗證機制也有問題，導致駭客有機可乘。

　　一般狀況下，使用者在ATM網頁選擇餘額查詢或轉帳等功能時，就會產生一筆交易資訊，隨後網路銀行掛載在使用者瀏覽器的附加元件，就會將這筆交易資訊傳送至晶片卡，晶片卡便針對該筆資訊產生一個交易驗證碼回傳給附加元件，最後附加元件將交易資訊與驗證碼送到遠端的網路銀行，即完成交易(如圖1)。但若駭客利用惡意程式以中間人攻擊手法(Man In The Middle, MITM)，竄改交易資訊(例如修改交易時間)，而晶片卡沒有能力驗證這筆資訊已被竄改，仍然針對交易資訊產生驗證碼，則當竄改過的交易資訊與對應的驗證碼一起傳送至遠端的網路銀行，一個未來時間的交易就產生了。更甚者，惡意程式可以不斷偽造交易資訊送給晶片卡產生驗證碼，然後再事先儲存所有的驗證碼，如此一來駭客就有可能在不需要晶片卡的情況下，直接利用驗證碼與網路銀行溝通(如圖2)。

圖1  正常網路ATM交易流程示意圖

　　蘋果日報日前指出臺灣晶片金融卡交易安全機制出現漏洞，原稱無法被複製、偽造的晶片金融卡，在網路ATM交易時會洩露驗證資料，還能藉此偽造「未來交易」騙過銀行，若駭客製造木馬程式病毒發動攻擊，將造成用戶受害。

　　經技服中心同仁分析後表示，傳統ATM和網路ATM最大的差別在於，傳統ATM為一台鐵盒子，自讀卡機、終端機、螢幕、按鍵及網路連線，都由銀行提供，一般人無法竄改ATM的軟硬體設備。然而，網路ATM的情境中，自讀卡機、電腦、作業系統、瀏覽器軟體都為使用者自行準備，因此任何一個環節發生失誤就會有很大的風險，在新聞中所使用的手法，可能性是相當高的，也就是說，網路ATM確實存在這樣的漏洞，而恰巧部分銀行業者的驗證機制也有問題，導致駭客有機可乘。

　　一般狀況下，使用者在ATM網頁選擇餘額查詢或轉帳等功能時，就會產生一筆交易資訊，隨後網路銀行掛載在使用者瀏覽器的附加元件，就會將這筆交易資訊傳送至晶片卡，晶片卡便針對該筆資訊產生一個交易驗證碼回傳給附加元件，最後附加元件將交易資訊與驗證碼送到遠端的網路銀行，即完成交易(如圖1)。但若駭客利用惡意程式以中間人攻擊手法(Man In The Middle, MITM)，竄改交易資訊(例如修改交易時間)，而晶片卡沒有能力驗證這筆資訊已被竄改，仍然針對交易資訊產生驗證碼，則當竄改過的交易資訊與對應的驗證碼一起傳送至遠端的網路銀行，一個未來時間的交易就產生了。更甚者，惡意程式可以不斷偽造交易資訊送給晶片卡產生驗證碼，然後再事先儲存所有的驗證碼，如此一來駭客就有可能在不需要晶片卡的情況下，直接利用驗證碼與網路銀行溝通(如圖2)。

圖1  正常網路ATM交易流程示意圖