ATM機及ATM機惡意軟體攻擊的發展及演變史

E安全9月28日訊 趨勢科技與歐洲刑警組織歐洲網路犯罪中心（簡稱EC3）9月26日聯合發布ATM攻擊報告，挖掘攻擊ATM的惡意軟體深度與廣度，以及攻擊背後的罪魁禍首。

ATM從現金到無現金交易的發展

預計到2021年，全球ATM機的數量將穩步增加至400萬台，但由於EMV遷移（磁條卡向晶元卡遷移）等因素美國可能只是名義上的增長。

EMV是Europay、MasterCard、VISA三大國際銀行卡組織共同制定的晶元卡規範，是晶元卡與晶元終端之間的交互對話機制。

ATM行業協會（簡稱ATMIA）發布的分析報告顯示，美國目前使用的ATM機數量介於47.5萬—50萬之間。

ATM的組件

ATM機的新功能和服務不斷取得創新，這將給實體銀行產生直接影響。ATM機已在提供個人對個人（P2P）轉賬服務，從而增強現金的可用性、降低交易成本、加強貨幣的互用性，還能購買並銷售加密貨幣。Coin ATM Radar（比特幣提款機雷達）顯示，全球約有1600台比特幣ATM機。

Coin ATM Radar 是一個顯示最新的支持比特幣的ATM提款機的地圖軟體,用來快速找到比特幣ATM的位置。

將來，近場通訊（Near Field Communication，NFC）、藍牙和iBeacon手機將使無卡現金交易成為可能。此外，未來還會出現基於應用程序的更具個性化和定製化的服務。然而，連接性和應用程序驅動的服務同時也會加大風險。

近年來，ATM盜竊方式呈現多樣化：炸保險柜、藉助ATM skimmer（「ATM分離器」，附在ATM機上的惡意電子硬體設備）、附上虛假鍵盤安裝可執行惡意軟體，尤其網路犯罪分子大量採用惡意軟體攻擊ATM機的方式，主要原因是許多目標ATM機仍在使用過時操作系統，這類系統無法接收重要的安全更新。

網路犯罪分子常使用惡意軟體實施攻擊，獲取ATM機的物理訪問權，從而盜取現金，然而，如今這些網路犯罪分子發現一個更天衣無縫的感染途徑，無需插入可移動硬碟，更不會留下指紋和監控錄像等證據，ATM機毫無遭遇物理干預的跡象，但裡面的現金卻被洗劫一空，不止安裝在偏遠地區、隱蔽街道或其它不安全地點的ATM機均面臨這類攻擊風險。

網路犯罪分子永無止境地斂財。除了慣用的ATM攻擊方式，他們還發現可通過銀行的網路攻擊ATM機。網路犯罪分子總是通過社會工程進入銀行網路，而銀行職員在感染鏈中成了最薄弱的環節。基於網路的ATM盜竊遠比物理攻擊複雜，這也是更有利可圖的「賺錢」方式。

趨勢科技和歐洲刑警組織歐洲網路犯罪中心合作研究ATM惡意軟體多年來的演變情況，以及如何通過更隱秘的功能攻擊大量ATM機。

對ATM的攻擊方式演進

2009年，針對ATM機的傳統物理攻擊開始浮出水面，當時研究人員發現Skimer惡意軟體。藉助此類惡意軟體，網路犯罪分子一旦取得物理訪問權便會利用USB埠或光碟驅動器感染ATM機。在某些情況下，網路犯罪分子可能還會連接外部鍵盤操作ATM機。

物理手段老式攻擊

自2009年以來，不同類型的ATM惡意軟體各顯神通，包括「吐鈔」等功能。2016年，趨勢科技與歐洲刑警組織歐洲網路犯罪中心合作發現惡意軟體家族「Alice」，其通過可執行文件發起攻擊，攻擊者可藉此清空保險柜，獲取大量現金。

安裝ATM惡意軟體通常需物理訪問目標ATM機。一旦在ATM機上安裝惡意軟體，網路攻擊分子通過擴展金融服務標準（XFS）中間件向ATM設備發送命令，從而達到提現的目的。

典型 ATM惡意軟體物理攻擊實施過程

惡意軟體感染銀行網路攻擊ATM

如今，銀行機構不僅應警惕惡意軟體感染，還應提防攻擊者滲透網路的可能性。最近，一大波遠程策劃的攻擊席捲不同國家大量ATM機。網路犯罪分子攻擊銀行內部網路滲透ATM機的基礎設施。然而，奇怪的是，美國和加拿大等地區尚未報告過這類複雜的技術。

此類惡意軟體較為出名的要數「Ripper」——首款感染ATM機卻未實施物理攻擊的案例。曾攻擊了泰國的ATM機，據傳盜取了約1200萬泰銖（約合人民幣239萬）。在這起攻擊中，犯罪分子在入侵了銀行網路之後將Ripper散布至ATM機。

典型的ATM惡意軟體基於網路的攻擊案例

雖然基於網路的攻擊的實施步驟比物理攻擊多，但對於網路犯罪分子的吸引力在於無需搜索目標ATM機就能提取現金。這類網路犯罪分子通常會向銀行職員發送網路釣魚電子郵件。一旦惡意軟體開始執行，銀行的內部網路就此遭到滲透。犯罪分子通過銀行網路訪問權在網路內橫向移動控制ATM機，甚至能在一起攻擊中同時感染多台設備。一些惡意軟體家族甚至還具有自行刪除功能，從而有效掩蓋犯罪痕迹。

2016年7月，東歐網路犯罪分子使用惡意軟體提取中國台灣地區41台提款機250萬現金。另外，Cobalt Strike、 Anunak/Carbanak、Ripper和ATMitch均刷新了人們對ATM機攻擊的認識。這些攻擊強調不安全的公司網路最終會成為全球ATM機基礎設施遭遇攻擊的突破口。

如何保護ATM機安全？

研究人員為金融機構的安全管理員提出以下預防建議：

• 升級操作系統、軟體堆棧和安全配置。

• 及時為公司網路基礎設施和ATM機打補丁。

• 使用白名單技術保護環境，因為大多數設備具有固定功能。

• 引入入侵防禦和檢測機制，以識別惡意系統行為保護ATM機。

• 實時監控安全硬體和軟體事件。

• 在技術人員的筆記本和USB設備上部署並使用反惡意軟體解決方案。

• 培訓服務技術人員適當處理USB可移動媒體設備。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！