取款機太容易遭到入侵了,黑客甚至用不著惡意軟件。
世界上的每臺取款機都很容易被黑客操縱,比如遠程吐錢 (2010年BlackHat大會上,黑客巴納比進行了名為Jackpotted的演示,通過遠程操作讓ATM機吐錢),而黑客并不一定需要惡意軟件的協(xié)助。卡巴斯基實驗室的安全研究人員通過分析真實發(fā)生過的數(shù)起ATM攻擊事件,評估了幾家全球性大銀行使用的取款機設備,得出了這一結(jié)論。
ATM機脆弱的現(xiàn)狀與它們廣泛使用老舊而不安全的軟件、網(wǎng)絡配置失誤、關鍵部位缺乏物理保護有關。
過去這么多年,ATM機面臨的最主要威脅是假密碼鍵盤和假卡槽:犯罪分子會在ATM機表面附加特殊的設備,竊取銀行卡密碼和磁條里的信息,這類設備也稱為Skimmer。不過,惡意技術(shù)一直在不斷進步,目前ATM機面臨威脅的范圍比以往更大。
2014年,卡巴斯基實驗室的研究人員發(fā)現(xiàn)了Tyupkin,這是最早出現(xiàn)的幾種知名ATM惡意軟件之一。2015年,他們又發(fā)現(xiàn)了Carbanak Gang,它與其它軟件的不同之處在于通過入侵銀行基礎設施實現(xiàn)吐錢目的。
這兩種攻擊都能通過利用ATM技術(shù)和結(jié)構(gòu)中常見的幾種漏洞實現(xiàn)。
為了提供更全面的認識,卡巴斯基實驗室的滲透測試專家研究了一些取款機中存在的軟件和物理漏洞。針對ATM的惡意軟件攻擊主要利用了兩個缺陷:
ATM機基本上都是運行著Windows XP等古老操作系統(tǒng)的PC;
在大多數(shù)情況下,負責幫助ATM與銀行基礎設施及硬件裝置交互、處理現(xiàn)金和信用卡的特制軟件是基于XFS規(guī)范的。這個技術(shù)規(guī)范的最初目的是實現(xiàn)ATM軟件跨平臺標準化,但目前已經(jīng)相對過時。
XFS規(guī)范不會認證它處理的命令,這意味著任何安裝在ATM上的應用都可以對任意ATM硬件單元發(fā)出指令,比如讀卡器和取款口。這意味著,如果惡意軟件成功感染了ATM,就能獲得幾乎完全自由的控制能力。
卡巴斯基實驗室的研究團隊警告稱:“黑客可以讓密碼鍵盤和卡槽變成更自然的Skimmer,也可以通過發(fā)出指令,讓ATM吐出存儲的所有現(xiàn)金。”
物理安全就更薄弱了。ATM機缺乏物理安全的現(xiàn)實使得黑客可以直接完成入侵,而不需要惡意軟件幫忙。ATM的制造和安裝方式?jīng)Q定了第三方很容易接入運行在里面的PC,或者是將ATM連接到網(wǎng)絡的網(wǎng)線。
僅僅通過一點點物理接觸,犯罪分子就有可能成功給ATM裝上特別編碼過的小型計算機 (也就是所謂的黑盒子) ,這讓黑客能夠?qū)崿F(xiàn)遠程訪問。將ATM的連接導向惡意的計算中心也是有可能實現(xiàn)的。由于缺乏VPN和認證等二級控制機制,黑客能夠利用利用ATM與銀行設施之間網(wǎng)絡連接的漏洞。
卡巴斯基實驗室滲透測試部門安全專家奧爾佳·考契托娃 (Olga Kochetova) 領導了這項研究,她表示:“我們的研究結(jié)果顯示,盡管廠商正嘗試開發(fā)配備強安全措施的ATM,很多銀行仍舊在使用不安全的老型號”。
“面對經(jīng)常挑戰(zhàn)ATM設備的犯罪分子,這顯然有點準備不足。這就是如今的現(xiàn)實,導致銀行及其客戶遭受巨大的財務損失”。
網(wǎng)絡罪犯們不止對網(wǎng)銀感興趣,他們正越來越頻繁地發(fā)動直接攻擊。
直接攻擊這類設備能夠極大地縮短犯罪分子拿到現(xiàn)金的流程,這對他們很有吸引力。
京公網(wǎng)安備 11010502049343號