黑客找到了入侵取款機的新方法

credit: 123RF

入侵自動取款機，在本地給它們注入惡意軟體聽起來很不錯，不過，當你被安全警衛抓起來扔進監獄的時候，可能就沒那麼有趣了。正因如此，現在，越來越多的網路罪犯不再選擇親自動手。

在最新的網路威脅報告中，Trend Micro公司的研究人員強調，針對ATM機的網路攻擊越來越多，這家跨國安全軟體公司稱之為「惡意軟體界的轉型」，這些攻擊可能導致ATM機狂吐數萬美元，不同於偽造的ATM卡槽和鍵盤，以及需要在本地入侵的惡意軟體，網路攻擊不需要與機器的物理接觸。

對罪犯來說，網路攻擊還有一個好，就是想入侵哪台ATM機就哪台，而對機器進行實體的魔改就需要小心行事：在夜色的掩護下，悄咪咪接近巷子或是角落裡的機器，暗處還可能藏著警察和眼線。一次遠程的攻擊則不需要在大晚上進行，錢騾(cash mule)可以接近任意的ATM機，未經仔細檢驗，可能會進行合法的ATM活動。

在評估ATM惡意軟體如何發展的過程中，Trend Micro與歐洲刑警組織的歐洲網路犯罪中心(EC3)合作，來甄選這些更新、更隱蔽的技術。作為一個著名的例子，研究人員指出了去年在泰國發生的「RIPPER」惡意軟體攻擊，21台自動取款機總共被盜竊了1229萬泰銖(約合34.6萬美元)(當時約合37.8萬美元)，最終，有大約一萬台ATM機被檢查出來有感染「RIPPER」病毒的風險。

Trend Micro, Europol

正如Trend Micro所指出的那樣，基於網路的入侵併不容易做到，而且，遠程的黑客攻擊有天生的風險：抹去自己的網路身份可不比現實中戴上手套和面具那麼簡單。入侵銀行的過程本身也是相當複雜的。銀行員工是一個常見的突破口，人類是最不可靠的。對任何公司的安全來說，通常都是最薄弱的一個環節。

包含惡意可執行文件的網路釣魚郵件是竊取銀行員工許可證的首選方法。一旦黑客獲得訪問許可權，他們可以在銀行的網路橫向傳遞，以獲得對ATM機的控制權。Trend Micro的記錄指出：「有些系列的惡意軟體甚至具有自我刪除功能，有效抹除了大部分的犯罪活動痕迹。

另一個著名的例子是2016年7月台灣第一商業銀行被入侵。台灣22個分行被竊取了約合240萬美元。而黑客全程都是遠程操作。

這次的攻擊極其複雜：它開始於第一商業銀行的倫敦分行，黑客利用銀行的錄音系統來竊取域管理權的許可權，使用這些許可來黑入公司的專網，繞過防火牆埠以獲得台灣地區分行的網路訪問許可權。一旦進入，他們就找到了ATM機更新軟體的系統，使用一個假的系統更新包，黑客們就能在ATM機上啟用遠程通信網服務，這允許他們上傳各種程序來測試ATM機，並在最終強制進行未經允許的操作。

與此同時，錢騾在一旁，與黑客通過加密聊天通信，並報告測試的結果，一旦機器吐出現金，錢騾就將其搜集起來並轉移到下一台機器上。研究人員說：「與此同時，遠程黑客將惡意程序從被攻擊的ATM機上擦除並註銷。」

Trend Micro, Europol

報告指出：「可能這些是已經進入銀行網路的常規犯罪集團，後來意識到他們可以在ATM機網路上做文章。」 「Ripper病毒的案例表明，有一些罪犯的目標就是ATM機網路，而不是偶然。這些團伙都有利用這些機器獲取銀行其他任何資源的利益動機和技術能力。

研究人員補充說：「雖然類似的網路攻擊在美國和加拿大等更大地區沒有報道，但我們認為這是2017年及以後可能會加強的新勢頭。」

本文譯自 Gizmodo，由譯者 Nivy 基於創作共用協議(BY-NC)發布。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！