一银ATM盗领案主谋抓到了，以恶意程式盗领的骇客集团首领在FBI及台湾等多方合作下被逮

欧洲刑警组织（Europol）周一（3/26）宣布，以Carbanak及Cobalt等恶意程式攻击全球超过40个国家逾100个金融组织，包括2016年国内发生的一银ATM盗领案的骇客集团首领近日已于西班牙的阿利坎特遭到逮捕，此一逮捕与调查行动是由西班牙国家警察（Spanish National Police）主导，并在欧洲刑警组织、美国联邦调查局、罗马尼亚、摩尔多瓦、白俄罗斯、台湾，以及多家资安业者的支援下完成。

此一于现身于2013年的骇客集团企图利用Carbanak与Cobalt等两款恶意程式攻击全球逾40国家的银行、电子支付系统与金融机构，估计已造成全球金融产业10亿欧元（约368亿元新台币）的损失，其中光是Cobalt恶意程式每次的攻击行动最高可自银行窃取1000万欧元（3.68亿元新台币）。

骇客集团以Carbanak、Cobalt攻击全球逾40国家的银行（来源：Europol）：

根据调查，该集团从2013年底开始从事高科技的犯罪行动，他们先锁定全球金融机构的转账与ATM网络推出Anunak恶意程式，并于隔年打造出进化版的Carbanak，沿用至2016年，继之再基于渗透测试工具Cobalt Strike开发更精密的Cobalt攻击。

所有的攻击行动都有类似的手法（下图，来源：Europol），骇客先针对银行的员工发送网钓邮件，伪装是从合法公司寄来的邮件，不知情的员工下载后，电脑就会被植入恶意程式，允许骇客掌控受害者电脑，进而入侵银行的内部网络，同时感染控制ATM的服务器，取得让ATM自动吐钞所需的资讯。

让ATM自动吐钞则有3种途径，一是从远端控制ATM在特定的时间吐钞，再由同伙等在ATM旁边取钱，这也是台湾第一银行遭窃的方式；二则是利用电子支付系统把钱转到骇客的账号；三则是修改账户资讯的数据库，让余额膨胀，再由车手去领钱。

骇客集团还利用加密货币来洗钱，借由连结加密货币钱包的预付卡来购买名贵的汽车或房子。

此一骇客集团的成员或受害者皆散布在全球，欧盟的联合网络犯罪行动小组（Joint Cybercrime Action Task Force，J-CAT）与欧洲刑警组织负责协调警力，由欧洲刑警组织的欧盟网络犯罪中心（EC3）负责资讯的交流与举办行动会议，再加上欧洲银行联盟（European Banking Federation，EBF）的参与。

EC3负责人Steven Wilson表示，这是国际联手对抗顶级网络犯罪组织的一次大胜利，骇客集团的关键人物遭逮意味着这些网络犯罪份子再也无法匿名，同时彰显了国际间及与资安业者紧密合作的重要性。

欧洲刑警组织并未公布此一骇客集团首领的名字或逮捕行动细节。

而协助跨国调查的法务部调查局指出，历经1年8个月的调查及国际合作，由西班牙警方逮捕到主嫌之一的俄罗斯籍男子Denys，并确认并无国人参与。后续将继续追查其他主嫌，并透过司法互助追回剩余的579万元赃款。