小年迎財神,沒想到ATM提款機「顯靈」了
「
小年迎財神?你是欺負我沒文化么!
」
今天是咱們北方的「小年」,童謠不是有「二十三,糖瓜粘」。其實講的就是,在「小年」這天,灶王爺要上天向玉帝稟報過去一年家裡人的所作所為,以定賞罰。所以,人們要在「小年」時祭灶,用糖瓜象徵性粘住「灶王」爺的嘴,令他不能上天說壞話。這好端端的「送財神」,怎麼變成朋友圈裡各種「迎財神」了呢?好懵……
「
ATM秒變老虎機,這又是什麼鬼?
莫非是「財神」顯靈?
」
但是沒想到圖個喜慶的事,現實生活中卻真的把「財神」迎來了,全球兩大ATM提款機製造商Diebold Nixdorf和NCR Corp.日前發出警告:美國境內已首次出現ATM吐鈔攻擊(Jackpotting)的案例。此前,美國特勤局(U.S. Secret Service)也發出相關警告表示,網路犯罪集團目前已有多種技巧可以強迫ATM提款機吐鈔。這種犯罪手法在暗網被戲稱為「ATM Jackpotting(ATM開頭獎)」,ATM機萬萬沒想到自己變成了「財神」。這個看懂了,原來是「黑客攻擊」……
其實,這類強迫ATM吐鈔的攻擊最早出現在俄羅斯,隨後傳到了歐洲、亞洲、拉丁美洲和北美洲。亞信安全網路監測實驗室分析發現,此次美國境內發生的ATM吐鈔攻擊與2017年10月發生在墨西哥境內的攻擊類似,很可能是同一批不法分子所為。這意味著其活動範圍已跨越墨西哥邊境,北移至美國境內。
從提款機的背面進入提款機,置換含有惡意程序的硬碟
目前強迫ATM吐鈔的方式有好幾種,但此處的案例必須通過物理方式進入提款機內部才能將惡意程序安裝到提款機的電腦上。裝好之後,惡意程序會從提款機的數字鍵盤或外接USB鍵盤接收指令,因此不法分子就能下命令給提款機內的吐鈔機,將裡面的錢掏空。
根據某安全機構在2017年10月發出的安全警告顯示,不法分子是從提款機的背面進入提款機。他們將提款機的硬碟換成含有惡意程序的硬碟,然後再利用工業用內視鏡來按壓提款機內部的Reset(重置)按鈕重啟。不法分子使用了幾種ATM吐鈔惡意程序,包括:ATMii、ATMitch、GreenDispenser、Alice、Ripper、Skimer以及SUCEFUL。
ATM內安裝手機,用來經由簡訊接收提款指令,置換含有惡意程序的硬碟
最近一次ATM吐鈔事件使用的是Ploutus惡意程序(亞信安全命名為TSPY_PLOUTUS.A)。據亞信安全網路監測實驗室統計,Ploutus最早可追溯至2013年9月,當時是在墨西哥境內的ATM吐鈔攻擊事件當中發現。隨後沒多久又出現了一個重新設計的變種,叫「Ploutus.B」,增加了不少功能。而一些較新的案例當中,不法分子甚至在ATM內安裝了一台手機。這台手機用來經由簡訊接收提款指令,再將指令傳送給Ploutus.B惡意程序,這樣可以減少車手到提款機領錢時的步驟。2015年10月又出現了一個名為「Ploutus.C」的變種,此版本採用了一種跨廠牌的ATM管理軟體構架。2017年1月,TSPY_PLOUTUS.A現身,增加了從遠端遙控ATM提款機的模塊。
根據預測,全球ATM提款機數量到了2021年將達到400萬台。ATM產業協會(ATM Industry Association,簡稱ATMIA)表示,美國大約有47.5至50萬台ATM提款機正在營運當中。未來更將出現使用手機NFC(近場通信)、藍牙、iBeacon等技術的無卡提款。不過這些方便的技術也將帶來全新的風險,使得ATM提款機的實體與網路安全更顯得重要。
不論是經由實體或網路方式安裝的ATM提款機惡意程序目前都在逐漸崛起。亞信安全認為,新的ATM惡意程序皆採用一種名為「金融服務延伸功能」(XFS)的中間件。此中間件根據XFS標準為Microsoft Windows操作系統上的金融應用程序提供了一套主從式構架。金融應用程序透過XFS API與XFS管理程序溝通來操控提款機的周邊裝置,如:數字鍵盤、吐鈔機、收據列印機等等。只要透過這套中間件,就可以和不同廠牌或型號的提款機溝通。XFS規格的通用性讓開發ATM吐鈔惡意程序的黑客只需撰寫一套程序就能應用在各廠牌的提款機,因此投資效益驚人。
亞信安全教你如何防範
為了防範ATM提款機所可能帶來的風險(不論對銀行或消費者),金融業安全系統管理員須謹記下列六要點:
讓操作系統、軟體及安全設定隨時保持更新;
定期修補企業網路基礎構架與ATM提款機漏洞;
由於金融業大多數系統都是「固定功能裝置」,因此可建置白名單技術來保護運算環境;
導入入侵防護與入侵偵測機制來發掘系統上的惡意行為,確保ATM提款機營運安全;
確實即時監控相關硬體與軟體事件;
部署並主動採用惡意程序防護解決方案,來保護維修工程師的筆記型電腦和USB裝置。
TAG:亞信安全 |