在中國，黑客真的能侵入銀行嗎？

12-31

看了很多關於黑客侵入銀行盜錢的新聞，大多都是嘩眾取寵的。那麼現實中究竟有沒有？

我舉一個網路的例子，一個物理的例子：

1、個別銀行向客戶提供的 WiFi 接入和自己的辦公網是連著的。

2、我看過一個城商行安防系統設計，裡面強調了這套東西的先進性：關鍵的幾道門可以由行長通過 GSM 簡訊遠程開關。

至於新聞，基本就是 @shotgun 說的那樣。銀行對安全事故很敏感，真有事兒都得盡量蓋住。新聞上看到的，很多並不是什麼事兒，或者不是那麼回事兒。

入侵銀行系統不算特別困難，但真要弄出錢來，則又需要熟悉金融體系，想像力豐富。國內對金融管的比較死，比如通存通兌業務搞了幾年後又被停了，跨境劃轉也很受限，這些都是不利於把錢弄出來的。

有。

真的入侵案例新聞一般不會報，因為記者也不會知道，反而大部分捕風捉影的案件還真不是銀行被黑，多半是用戶自己出了問題。

但其實銀行，特別是小銀行，真不見得信息安全水平比其他企業高很多，只是因為後果嚴重，所以有膽子去嘗試的人很少，再加上銀行是經營信用的，所以一般即使出事也秘而不宣，這也是業內大家心知肚明的公開秘密了。畢竟在風險管理中，被攻擊造成的損失和商譽風險相比簡直不值一提。

當然，跟外部攻擊比起來，內部案件更多，金額也更大。

第三方（外包、供應商、合作夥伴）會更加危險，因為了解情況，而且也有一定的接入許可權。

5年+的銀行IT戰略規劃經驗，簡單說下，不傷筋動骨的。

從銀行系統黑錢的方式，主要有以下幾種：

1. 內部利用應用系統的許可權或漏洞，或者越權操作，隱蔽操作等，比如說小額系統等監管合規不嚴的系統。和黑客技術無關。

2. 利用職權操作。和黑客技術無關。

3. 黑掉某帳戶，非帳戶系統，轉賬到某卡，提款，跑。（ATM機裝攝像頭也屬這種類型）

4. 利用職權，獲取帳戶信息（姓名、聯繫方式、存款、消費等），整體出賣，不少錢呢，優質資料一條好幾塊錢。

但是，直接黑掉core banking 系統拿錢的，我從來沒有聽說過。不管是拿到web系統伺服器許可權，還是拿到ATM機許可權啥的，都沒用，我就算開放行內生產網給一個黑客，他想搞破壞容易，拿錢出來很難。銀行的核心系統+ESB或者前置之類的體系超級複雜，每個銀行完全不一樣，關係超級複雜，數據結構根本看不懂，某些人想像的直接去改核心資料庫根本不可能。唯一的可能性就是 @張書嘉提到的外包團隊乾的，但是確實沒聽說有發生過這種事。

銀行安全里有個段子，當年的黑客界領軍人物小榕，寫流光溯雪的那位前輩，後來供職於某IT公司，去某個銀行做交流時，在會議室隨便插了一個以太埠，過了沒多久，把銀行的一套重要系統的許可權拿到了，然後簽了一張安全大單。我非常質疑這個傳說，按照銀行正常內部環境，會議室的網路根本無法訪問生產伺服器區域，破解難度非常高，而且不可能是那麼一時半會能做到的。本著八卦精神，我一直四處打聽，最後找到了小榕部門的銷售，證實這事子虛烏有。從那時起，我現在對很多段子性的黑客故事，抱有充分的懷疑。

--------

但是，我現在很擔憂一件事。就是這兩年的互聯網金融這一塊，很多小銀行都在急匆匆的上馬這塊業務。這方面內容和網銀不一樣，網銀的賬務交互是連內網核心系統的，只是櫃面系統的外延。但是互聯網金融是全新的模式，通常做法以網上商城為主要內容，因為要適配多個銀行的銀行卡，所以是和核心系統無關的單獨的一套電子賬戶系統，有帳戶餘額。整個互聯網金融系統現在良莠不齊，有些就是小開發商拿個小電子商城的系統改一下就上的，安全保護機制也不行，也沒有成熟的監管扎帳合規體系，漏洞非常大，技術上從外網直接黑掉電子帳戶系統直接改錢是非常有可能的。

直接通過互聯網界面對於銀行core banking系統滲透基本是極難的。直接開放內網入口讓你路由進去，搞錢也極度難，甭說複雜的金融合規流程，就是那些胖中間件關係和消息秩序都要梳理一段時間，軟體工程並非常態。所以針對core banking的外部滲透很有知識局限。

不過，若只想搞出錢來，最薄弱環節莫過於：1-內部開發測試區和外部運維承包團隊（真實數據結構的i/o測試以及多數情況下不太用的脫敏工具），他們懂得金融軟體工程和數據結構，個別時候不需要操作票，以及有許可權躲過審計。2-老生常談，網銀漏洞的exp，這與core banking沒關係，還是損害賬戶所有者，銀行可以免責。

在這兒遇見你…@shotgun

這個可以答一下，真有。

多年前做過銀行的技術支持，聽說了一個案例，事發寧波市招商銀行。銀行查賬，對出多筆偽裝的存款記錄，涉案金額40餘萬元，追查卡號發現已經被多次轉賬和取款2萬餘元。

開始十分震驚，招商銀行在國內銀行中相比，是對it基礎設施投入很大的，最早建設了網銀系統，對安全也一直很重視。而且，銀行的設備走的是專線，和普通公網是隔離的，黑客是怎麼做到偽裝交易記錄的呢？

涉案銀行卡是用他人丟失的身份證辦理的，假存款記錄是在天一廣場的招行新開自助行，取款記錄就比較複雜，涉及多個自助行取款點，多為偏僻位置。

調取監控可以發現可疑人員，一個人，穿兜帽衫，遮住了頭臉，面目不可識別，只能判斷應該很年輕。

招行馬上報警，當時這可能是全新的犯罪方式，招行的總行、省分行，警方的省廳、市局都十分重視，投入精兵悍將。當時定的策略是，暫時保持原涉嫌銀行卡不動，不驚動犯罪嫌疑人，等待對方下次取款，直接人贓並獲。事後我自己的復盤，此時警方和銀行掌握信息有限，如果嫌疑人就此收手，此案將成為懸案，銀行只有自認倒霉。

因為嫌疑人此前取款記錄多在半夜0點前後，晚上警方在多處取款點布控，通宵蹲守。不幾日，傳來消息，嫌疑人已經落網，正是取款時人贓並獲。

嫌疑人我沒有見過，資料也是保密的，就是聽銀行方面的人介紹了下，只能稱呼他為X吧。嫌疑人X，男性，寧波地區本地人，在市內某中專學校就讀，所以年齡應該是18、9歲。作案動機是偷錢玩遊戲。。。在網吧通宵打傳奇。

X在招行自助網點取款時，意外發現有暗藏的網線介面（原定計劃安裝的自助設備因為故障，廠家換貨中），好奇心起，帶上了自己的筆記本電腦接入，以為可以上網。當然，上公網是不可能的，但筆記本已經成功接入自助行網路，對，簡單的dhcp。X突然想起windows電腦的遠程桌面功能，先ping到同網段其它設備ip地址，然後用遠程桌面的方式登錄到其它設備上，居然真的成功了！

沒錯，當時銀行的取款存款機器，後台運行的大多是windows系統，98，nt，2000都有，沒人做安全策略，也不會打補丁，因為正常情況下，都在專網內專用，沒人想到有這一出。

因為喜好玩遊戲，X專門研究過外掛和封包，他的筆記本上正好也安裝了抓網路封包的軟體，wpe，winpcap之類。他把軟體拷貝到其它設備的系統上安裝測試了一下，發現了設備提交信息的網路封包的規律。沒錯，應該就是明文傳輸，要是加密了就沒這麼容易了。同樣，因為是專網，估計廠商和銀行都覺得加密不重要吧。

其實上面提到的這些技術，電腦專業知識稍微強一點都知道，算黑客的話，估計也就算個剛入門的。但是後面的步驟，顯示了X的聰明才智，和黑客社會工程學的功底。

發現這些漏洞後，X並沒有輕舉妄動。他回學校睡覺了，第二天才開始了他後續的行動。

首先，他找了學校的失物招領處，冒充失主搞到了他人遺失的身份證（估計沒錢的錢包，查驗也不會很嚴格），然後去寧波大學附近，找了銀行辦信用卡的攤子，用假身份證辦了銀行卡。當時銀行不但熱衷開信用卡，普卡也有開卡任務，提供身份證之後找個什麼理由委託辦理，銀行工作人員沒有懷疑，順利幫他辦好了。

這就是銀行為何明知道卡號也找不到人的原因，因為他根本沒有去櫃面辦理。銀行知道開卡行和開卡大概時間，但是調取網點監控沒有查到人。而辦卡的櫃面員工級別太低，都不知道有這回事。估計當時沒查到人的話，銀行還會懷疑有內部人員參與吧。

辦好卡之後，X就回到自助網點，連上存款機，發送假封包偽裝存款。然後立即到取款機上取出。當時的取款限額每天應該是幾千，其實在他後面幾次取款時，銀行已經察覺，只是警方的布控還沒到位，只能說，僥倖和貪心害死人。

後續就不知道了，可能怕泄露內幕或者銀行走了什麼關係，這事沒有報道，知情人也不多。不知道X會被以什麼樣的罪名判處什麼樣的刑期，現在已經過去十多年了，出來了沒有。

還有一點就是，後來發現，調看監控的時候，X在自助行里操作的畫面也有，但他是背對主監控，拍不到筆記本，所以看監控的應該是以為醉鬼趴那裡打盹吧。

X和熊貓燒香的作者很像，都是理論上學渣的中專生，不要因此小看他們。但是他們也談不上天才，甚至不算正經意義的黑客。該好好讀書的還是好好讀書，不要走歪門邪道。

有能力黑進銀行且搞到錢而不被抓的人，應該不缺錢。

大概09年吧，做過一次本地銀行的應急。剛睡醒的我正在家裡泡著13塊的泡麵準備吃完去公司發獃，結果被朋友電話過來說某某銀行網站被入侵了。上午一群殺軟公司過去沒扯明白，讓我去看看。於是我吃完被忽悠買的高級泡麵，開著小奧拓屁顛屁顛的衝過去。

進去和他們it部門溝通了幾分鐘，結果就是個oracle的注入，資料庫還是windows系統，服務沒降權，小黑直接執行命令把機器控制了。後來又看了他們給畫的拓撲，基本上我心裡的估算是70%可以入侵，至於能不能拿到錢那就不好說了，畢竟裡面那些定製系統都沒玩過。

現實生活中當然有了，昨天烏雲平台就爆發了一輪銀行漏洞的小高潮：

大部分銀行都用第三方的開發框架，一旦這些框架出現漏洞，幾乎沒有一個能倖免的。

至於你問我資不資詞這麼做，我只能說，兄弟多保重了：）

在真實的生活中，很多人問我QQ號能不能偷的時候，也是這麼個問句。

有句話說得好，人是不斷進步的。看著這個幾個月前的回答我也是有點羞澀，入侵也是分很多種的。掛個黑頁也是入侵，搞錢出來可就難了。大家不要贊了，別的大牛說得很好。見笑了。

-------- ------------

說句不好聽的入侵這些銀行的系統對大牛來說都不算難，怕的是被跨省。

這些銀行的態度就這樣，我知道我有漏洞，但是我不怎麼修，真給你幾個膽子你也不敢搞。

出問題了直接調動公安的資源抓你(在天朝90%想抓還是能抓到的。)所以一般大牛們都不會手賤去碰這些背景硬的銀行和企業。

要是他們沒背景早被日得千瘡百孔了，界面還設計得那麼難看，還不支持chrome，還得用舊版ie。。一系列就不吐槽了。

1.這個世界大牛很多，上不得檯面的才是真的牛，所以你意會了嗎？

2.而大牛知道三不碰，其中就包括但不限於銀行。所以你意會了嗎？

2016/9/19更新：

題目是「在中國，黑客真的能侵入銀行嗎？」，並提到「看了很多關於黑客侵入銀行盜錢的新聞」，顯然題主對入侵銀行的定義，是入侵涉及到銀行記賬的核心系統。而本題下，好多答案提到入侵了銀行的站點，絕大多數都是些邊緣業務，跟核心還差十萬八千里————譬如，某銀行的「在線學習系統」，主要是給員工提供遠程培訓的，你把它黑了，頂多能下載幾個培訓視頻，但是你要說自己「l黑了銀行系統」，也不能說錯了。

以下為原答案：

本人在某小銀行總行IT部門工作，對中小銀行的安全控制體系稍微有些了解。看了這個問題下的好多回答，大多都不太靠譜。

本答案70贊的時候，仍然排在0贊答案的下面，如此看來，認為入侵銀行很容易的人是相當的多。

=====================================================================

理論上，黑客侵入銀行肯定是可以的，但是難度可不小，下面我主要說說入侵銀行要過哪些關卡。

一、從互聯網入侵銀行系統

首先明確一點，銀行的網站和網上銀行系統是分開部署的，你如果成功入侵銀行網站，那麼可以把網站主頁換掉或者把網站新聞刪光，然後就沒別的卵用了。即使你改了主頁，極有可能兩分鐘後銀行網站就恢復原狀了，因為大多數銀行的網站都部署了防篡改系統，一旦發現網站被非法篡改後會立即自動恢復。

我本人對安全技術其實了解不多，許多小銀行也缺乏精通安全技術的人才，所以銀行往往通過第三方公司的技術來保障安全。即便是最簡陋的網上銀行系統，在侵入它之前，都必須跨過IPS、WAF和防火牆各一道。

第一關基本上是傳統防火牆，思科或華為的設備居多，這個估計難不倒經驗豐富的黑客們。

第二關是IPS（入侵防禦系統），我的感覺是IPS阻擋了絕大多數的安全攻擊，至少我從IPS的日誌審計結果中看到了不少被攔截掉攻擊行為。據我所知，目前國內銀行採用的IPS，用得最多的是TP家的，有興趣的黑客可以去找一個TP的IPS做一下入侵測試，看看是否能過這第二關。

其實在防火牆和IPS之前還有一個F5的負載均衡器，F5也具備一部分攻擊攔截能力，但是它的主要作用是LB，就忽略不計吧。

第三關是WAF（Web防火牆），這玩意主要是通過執行一系列針對HTTP/HTTPS的安全策略來專門為Web應用提供保護。諸如SQL注入、跨站腳本攻擊之類的，遇到它基本就歇菜了，即便是網銀系統的代碼有這方面的漏洞也不會有事。

如果你連闖三關，就可以直接面對網銀系統的Web伺服器了，這可能是一台安裝了AIX系統的小型機，在系統安全上的配置還是相當專業的，能不能搞定它，也需要你拿出看家本領，這是第四關。搞定第四關，那麼你可以搞點破壞了，讓銀行的網銀系統癱瘓一陣之類的，但是你自己好像拿不到啥有價值的東西。

第五關是網銀系統的應用伺服器和資料庫伺服器，如果你能搞定第四關，第五關應該不會遇到太大阻力，這時候，你可以獲得好多銀行用戶信息，包括網銀登錄名、真實姓名、登錄時間什麼的，但是也就僅此而已，數字簽名、網銀密碼之類的數據你也可以拿到，但是貌似都是用不可逆的演算法加密的，基本上沒什麼用。網銀系統本身只是一個殼，所有的交易都是在核心系統等後台系統中完成。

從網銀系統到銀行內部系統，又是一個防護重重的過程。由於各家銀行的核心系統架構不一樣，你必須好好摸索才能找到你想要的東東。

OK，是時候談談你的終級目的了。你如果想得到一份銀行的客戶資料，那麼闖過重重關卡後，你成功的可能性還是有的；如果你想給自己的銀行賬戶轉一大筆線——那就有點危險，銀行的業務系統，各個操作環節一環扣一環，你只是在資料庫里改個數字什麼的，當天日終處理的時候一定會被發現，所以你必須在24小時內完成取款、逃亡的所有動作。

二、從營業網點入侵銀行系統

看到有答案說從網點WiFi能連上銀行辦公網，真的差點笑出聲。。。某些銀行網點的辦公網，只是自己單個網點或者分行用用而已，頂多發幾條通知、申請個請假流程，這能叫銀行系統？當然，辦公網內如果有很多關於業務的郵件往來，倒是有可能會包含一些敏感的信息。

還有答案說網點的電腦連接網上銀行。。。。。。拜託，那台電腦和你家的電腦沒有任何區別，要入侵請參照第一部分。

三、外包人員入侵銀行系統

最近幾年，銀行業開始高度重視外包風險，銀監會都發布了專門的指引，還組織了一個外包監督檢查聯合管理平台。在這方面，個別小銀行如果做得不到位，是有可能埋下安全隱患的。

銀行的內部網路，一般來說會劃分為若干個子網，包括但不限於外網、辦公網、生產網、外聯區域、測試網、開發網、外包開發網等等。各個子網之間，大多數是物理隔離的，完全不能互訪。部分子網之間因業務需要會聯通，但也都至少是邏輯隔離，部署防火牆以白名單形式開通訪問。

在銀行駐場的外包人員，一般只能接觸外包開發網路，甚至都不能帶自己的電腦，只能使用銀行提供的PC進行開發，也不能使用U盤之類，並且根本接觸不到銀行的生產網路，入侵銀行系統基本上是沒什麼機會的。

四、內部人員入侵

換了普通的行業，內部人員進入自己的系統，拷貝、篡改自家的數據應該是沒什麼難度的，銀行在這一方面也有自己的辦法。一是實行崗位、許可權分離制度，負責開發、測試的人，不允許接觸生產網；而接觸生產網的人，往往不懂業務邏輯，沒法天衣無縫地作案。二是實行嚴格的邏輯訪問控制，運維人員要登錄系統主機，必須通過審批後進入ECC（總控中心），通過ECC的工作站登錄堡壘機，再跳轉到主機進行操作，主機的密碼基本是雙人分段保管，這樣你在主機上的所有操作都被堡壘機記錄下來了，幹了什麼事全部記錄在案。

然而，在防範內部人員入侵方面，不同的銀行差異就十分大了，有些管理能力弱的小銀行，就會存在漏洞，據我所知，也發生過一些IT人員改資料庫撈錢的案件，多數都是把手伸向睡眠賬戶。

以上。

建行目前是使用的七層架構12P吧,,先把這個搞懂架構,,,再說吧,會計分錄都搞不明白,怎麼轉,而且各家銀行架構不一樣,沒有做過金融方面的,很難就像 @倪大為在TK下回復的,有多少人能懂?

1.銀行ATM和個支行都是專線,不走公網

2.ATM正面不會暴露介面,現在ATM廣電運通的比較多,恩,ATM後面的保險柜也是有鎖的,至於說國外ATM機吐錢那個,如果你能接觸到ATM機,按照360那幫人的速度,幾天就搗鼓出來了.

3.銀行大一點的系統上線都要報備央行審批,各種報告都要提交,而且還要安全審計,除非央媽傻了

4.曾經遇到過測試數據不進行脫敏,然後真實數據泄露的,也遇到過外包人員拿未脫敏數據然後解密以後放外面賣的,價格還不錯,

歡迎噴

一個字：能