ATM机,又被称作“自动柜员机”,在日常生活中比较常见,如果说有人告诉你他可以让ATM机自动吐钱,或许你只会说他是白日做梦。而安全专家会告诉你,这并非痴人说梦,早在2010年的国际顶级黑客大会Black Hat现场,来自美国的著名黑客巴纳拜·杰克(见图)利用他独创黑客技术令自动提款机狂吐钞票,一跃成为全球最牛的“明星黑客”,而同样是在Black Hat现场,2016年威斯顿·黑客(Weston Hecker,姓“黑客”)再次演示了让ATM自动吐钱的新技术。
杰克演示ATM机“自动”吐钱
看到这里,或许已让你目瞪口呆,而真正让人震惊的是,这种针对ATM的攻击在现实中一直在不断上演,给金融机构造成了严重的损失,让我们来简单回顾一下:
|
时间线 |
攻击事件 |
|
2005 |
多个厂家ATM默认密码(如:123456)未修改,从而被犯罪分子利用进入管理员界面,修改ATM钞箱参数配置,例如让ATM认为取款20美元吐出400美元,最终犯罪分子重复取钱操作将ATM机洗劫一空。该攻击手段在2006年开始呈爆发态势。 |
|
2007 |
由于ATM默认操作密码未修改,宾夕法尼亚一家名为Mastrorocco市场的便利店被一名身份未知的男子窃取1 540美元。 |
|
2007 |
研究人员发现俄罗斯和乌克兰的20余台ATM感染恶意软件,可被攻击者控制吐钱。 |
|
2008 |
由于ATM默认操作密码未修改,两名21周岁男子在内布拉斯加州分3次实施犯罪行为,总共窃走1 400美元,第四次被发现遭警方拘捕。 |
|
2009 |
某银行雇员被指控利用职务之便给ATM安装恶意软件实现恶意取现,并且不会有日志记录。该恶意软件与2007年俄罗斯和乌克兰ATM恶意软件有相似特征。 |
|
2010 |
由于ATM默认操作密码未修改,2010年,北卡罗来纳便利店员工戴上假发洗劫了30个位于不同地点的ATM,但是他被自己的一名同伙供出,他最后被判入狱37个月。 |
|
2010 |
两名犯罪分子(包含一名银行前雇员)利用发现的ATM操作密码,从2009年开始的超过18个月的时间里,洗劫了纳什维尔多台ATM,取出总数超过40万美元的现钞,全部都是20美元面值。 |
|
2010 |
Blackhat大会上,安全研究员巴纳比·杰克(Barnaby Jack)采用两种不同的攻击方式实现了“ATM自动吐钱”的演示,使用到的恶意软件命名为Scrooge。 |
|
2013 |
美8名犯罪分子在3个月内从ATM取款机*取盗**4500万美元现金,攻击涉及到了20个国家的ATM取款机。 |
|
2013 |
乌克兰首都基辅的一处ATM机在没有插入银行卡也没有触碰按钮的情况下时不时自动吐出现金。 |
|
2014 |
两名14周岁少年通过网上*载下**的ATM操作手册,成功猜出蒙特利尔银行ATM机上的6位数字组成的操作密码。两名少年立刻通知了银行,银行方面则修改了密码。 |
|
2013 |
一家没有公开名称的银行被犯罪分子以“ATM吐钱”方式盗走了730万美元。 |
|
2013 |
研究人员发现一款恶意软件命名为Backdoor.Ploutus(财神之路),该恶意软件被安装在墨西哥的一些ATM机器上,目的是通过短信控制“ATM吐钱”。 |
|
2014 |
卡巴斯基发现并报告了一种新型的恶意程序Tyupkin,该恶意程序针对银行的ATM自动取款机发起攻击,目标主要是东欧多个国家银行机构ATM。 |
|
2014 |
德国安全研究员在德国汉堡举行的“混沌通讯大会”(Chaos Computing Congress)上披露了一种攻击方法:偷窃者通过ATM机的USB接口将恶意代码安装到ATM机上,导致ATM机上预留了可以控制用户操作面板的后门。 |
|
2015 |
卡巴斯基实验室发布报告,指认一个跨国黑客团体Carbanak专门针对全球约30个国家的银行和金融企业发起网络攻击并*取盗**银行账户资金,迄今所窃总金额高达10亿美元。 |
|
2015 |
FireEye发现了一种恶意程序命名为SUCEFUL,该恶意软件可针对多个厂家ATM发起攻击,关闭安全传感器的检测,并完全控制ATM。 |
|
2015 |
安全服务商Proofpoint发现恶意软件被称为GreenDispenser,该恶意软件会让ATM的界面显示“暂停服务”的通知,黑客只要输入正确的PIN码就可以让ATM吐出现金。 |
|
2015 |
俄罗斯数字情报公司Group-IB发现俄罗斯网络罪犯使用了一种称为“反向 ATM 攻击( Reverse ATM Attack ) |
|
2016 |
欧洲刑警组织和欧洲检察官组织在罗马尼亚逮捕了8名涉嫌参与和利用恶意程序Tyupkin非法ATM取款的国际犯罪团伙。 |
|
2016 |
Blackhat大会上,研究人员威斯顿•黑客(Weston Hecker,姓“黑客”)再次演示了让ATM自动吐钱的新技术。 |
|
2016 |
估计近100人的犯罪团伙洗劫了日本16州1400台ATM机,三小时内盗窃14亿日元。攻击者采用了ATM Skimming的攻击手段。 |
|
2016 |
泰国银行大约一千台ATM机被入侵,并且1200万泰铢已经被盗。 |
|
2016. |
台湾第一银行旗下20多家分行的41台ATM遭遇黑客攻击,被盗8327余万新台币。 |
|
2016 |
安全公司Group iB发布报告指出全球14个国家的ATM机受到了攻击。 |
|
2016 |
卡巴斯基发布两篇针对ATM目前和未来面临的安全威胁的研究报告,详细地叙述了ATM机目前发现的各种安全问题、攻击思路以及防护建议,另一份报告详细描述了未来ATM机可能会遇到的攻击方式及防范措施。(报告链接见文末参考资料) |
|
2017 |
安全专家发现Ploutus的新版本Ploutus-D出现了,该样本主要以ATM供应商Diebold为目标,但恶意代码经过简单修改即可攻击Kalignite软件平台(多供应商ATM平台)在80个国家的40个不同的ATM供应商(包括Diebold)。 |
(*以上均为目前网上公开的部分ATM攻击事件或研究报告)
犯罪分子取走ATM“自动”吐出的钱
那么这些安全专家或黑客组织到底使用了
怎样的技术来让ATM“自动”吐钱呢?
首先让我们来了解一下ATM的结构和工作流程:
ATM结构示意图
|
模块 |
功能 |
|
显示模块 |
显示屏及周边控制键,可选触摸屏、防窥屏 |
|
读卡模块 |
读取银行卡信息的读卡器,可选支持接触式IC卡及非接触式IC卡 |
|
键盘模块 |
输入密码/数字等的键盘,可选指纹/人脸识别/二维码识别/光子支付/电子密码锁 |
|
维护模块 |
大多为微软定制的系统Windows CE/XP,支持DVD-RW光驱、USB接口 |
|
钞箱模块 |
吸钞、点钞、验钞、出钞并存储现金的保险柜 |
|
监控模块 |
监控取钱、存钱操作的监控系统 |
|
网络模块 |
与银行等机构连接,可选:有线网络、无线网络 |
|
打印模块 |
打印交易凭条/流水的打印机 |
结合以上的攻击事件来看ATM结构,可直接或间接接触的模块都可能成为攻击的起点,而攻击者会综合考虑攻击成本来选择攻击手段,并使利益实现最大化。而在新闻中报道的多起开挖掘机抢劫ATM的方法肯定不会被聪明的攻击者考虑。
男子凌晨开挖掘机砸ATM:结果钱没偷到
挖掘机也没开走 终被警察带走
ATM的多个功能模块如何协同工作完成取现等操作呢?那就不得不提金融服务扩展(CEN/XFS),这是在Windows开放式系统体系结构(WOSA:Windows Open System Architecture)基础上开发的一组标准接口,目的是方便各制造商的金融设备访问。如下图,全球大部分ATM运行在Windows XP上,通过CEN/XFS实现对设备模块的控制。
ATM工作流程
银行的ATM机网络是封闭的内部网络,一家银行各地的ATM机通过银行内部网络连接,而众所周知微软已停止对Windows XP的技术支持,网上有大量随手可得的0day利用程序,攻击者拿下一台ATM可迅速攻陷整个ATM网络,这就导致这些ATM面临着极大安全风险,也成为了攻击者眼中的肥肉。
ATM使用老旧的Windows XP系统
根据行业数据显示,2015年国产ATM机在国内市场所占份额为60.13%。国内市场销量排名前五名分别为广电运通、日立、恒银金融、御银、怡化。排名第一的广电运通官网显示ATM产品使用的操作系统均为Windows XP Pro。
金融时报2015年中国ATM市场分析
基于以上对ATM结构和工作流程的了解,黑客的攻击手段基本就可以确定了:*取盗**用户银行卡信息制造伪卡盗刷或“非正常手段”控制ATM吐钱。
下篇我们将讲到
黑客攻击ATM的五种方式及应对措施,敬请期待哟!
请点击屏幕右上方“…”
关注绿盟科技公众号
NSFOCUS-weixin
↑↑↑长按二维码,*载下**绿盟云APP