黑客真的可以入侵银行吗？在中国能做到吗？

从银行系统黑钱的方式，主要有以下几种：

1. 内部利用应用系统的权限或漏洞，或者越权操作，隐蔽操作等，比如说小额系统等监管合规不严的系统。和黑客技术无关。

2. 利用职权操作。和黑客技术无关。

3. 黑掉某帐户，非帐户系统，转账到某卡，提款，跑。（ATM机装摄像头也属这种类型）

4. 利用职权，获取帐户信息（姓名、联系方式、存款、消费等），整体出卖，不少钱呢，优质资料一条好几块钱。

但是，直接黑掉core banking 系统拿钱的，我从来没有听说过。不管是拿到web系统服务器权限，还是拿到ATM机权限啥的，都没用，我就算开放行内生产网给一个黑客，他想搞破坏容易，拿钱出来很难。银行的核心系统+ESB或者前置之类的体系超级复杂，每个银行完全不一样，关系超级复杂，数据结构根本看不懂，某些人想象的直接去改核心数据库根本不可能。唯一的可能性就是 提到的外包团队干的，但是确实没听说有发生过这种事。

银行安全里有个段子，当年的黑客界领军人物小榕，写流光溯雪的那位前辈，后来供职于某IT公司，去某个银行做交流时，在会议室随便插了一个以太端口，过了没多久，把银行的一套重要系统的权限拿到了，然后签了一张安全大单。我非常质疑这个传说，按照银行正常内部环境，会议室的网络根本无法访问生产服务器区域，破解难度非常高，而且不可能是那么一时半会能做到的。本着八卦精神，我一直四处打听，最后找到了小榕部门的销售，证实这事子虚乌有。从那时起，我现在对很多段子性的黑客故事，抱有充分的怀疑。

--------

但是，我现在很担忧一件事。就是这两年的互联网金融这一块，很多小银行都在急匆匆的上马这块业务。这方面内容和网银不一样，网银的账务交互是连内网核心系统的，只是柜面系统的外延。但是互联网金融是全新的模式，通常做法以网上商城为主要内容，因为要适配多个银行的银行卡，所以是和核心系统无关的单独的一套电子账户系统，有帐户余额。整个互联网金融系统现在良莠不齐，有些就是小开发商拿个小电子商城的系统改一下就上的，安全保护机制也不行，也没有成熟的监管扎帐合规体系，漏洞非常大，技术上从外网直接黑掉电子帐户系统直接改钱是非常有可能的。