两名餐饮人员告诉你入侵取款机拿现金竟是如此简单

美国一位小餐馆的店主在18个月里通过ATM柜员机取了40万美元,但这些钱不是他的。

这位名为法塔赫的店主和他的同伙克里斯·弗莱得,面临30项计算机欺诈和密谋罪名。他们用特定的按键顺序重新配置ATM,让机器认为吐的是1美元而不是20美元。也就是说给取款机输入取20美元的指令,实际上取了400美元,净嫌380美元。

这是一起针对低端取款机实施盗窃的成功入侵案例。已过世的黑客巴拿比·杰克曾在2010年的黑客大会上演示过让Tranzx和Trident两种品牌的取款机吐钞。前者通过远程拨号,后者通过打开取款机的外壳盖

然后利用USB口对取款机重新编程。之后两个厂家都补上了漏洞。

但法塔赫他们入侵的取款机却并不需要黑客软件或物理工具。这些街头的低端取款机通过在键盘上以特定的顺序按键,就可以将其设置成“操作员模式”。在此模式下可以改变机器往吐钞盒里放钞的面额,即机器认为自己放的是1美元的钞票,而实际上放进去的是20美元钞。

保护操作员模式的是一个6位数字口令,但法塔赫是运营这些取款机公司的前雇员,因此知道这个口令。

法塔赫找到他的朋友弗莱德一起干这件事。2009年1月,他们第一次开始行动。他们先是用6位的数字口令更改了吐钞盒里的钞票面额,然后取出钞票,最后再把机器改回正常的设置。之后,他们不断的重复这一方法,到2010年3月,共盗窃了40万美元。

这两位所谓的“黑客”还犯下了愚蠢的错误,比如取款时在摄像头前留下自己的“倩影”,而且还使用的是自己真实身份的银行卡。

40万美金并不算多,但问题在于许多其他的窃贼也在使用这种办法从取款机中偷钱。他们不像法塔赫那样知道内部的信息,也不会蠢到使用自己的银行卡。

早在2005年,就有人发现了Tranax和Trident取款机的默认主口令直接印在了服务手册中。并且在网上可以轻易查到这个手册,主口令是“123456”。

一些知道此事的企业业主立刻更改了默认的主口令,但许多小企业并没有这样做。于是导致了数字空间史上罕见的一段时期,黑客犯罪如同街头犯罪一样的简单,并默默的进行了至少18个月。到了2006年,一个在加油站从ATM上偷钱的人被抓,最终引爆此事。随即在新闻媒体的推动下,默认口令一事才出现在大众面前。

Tranax和Trident随即更改了新生产的取款机的默认配置,这些新机器在第一次使用时都需要重新设置密码。然而,已经放置在各商业点的取款机,却仍然有着巨大风险,之后又相继发生了一些这样的事情。2007年,一个穿着短裤拖鞋的人从宾西法尼亚的一家便利店取款机中盗走了1540美元。2008年,2个21岁的年经人从内布拉斯加的一个连锁零售店分3次取走了1400美元。2010年,北卡罗莱纳一家杂货店的职员戴着假发“拜访”了30台ATM,但最终由于同事告发,被警方抓获。此人被判入狱37个月。

现在,从取款机中盗走现钞的事情似乎非常罕见,但公众很难知道真实情况,毕竟金融机构极端避讳谈起这类事情。但操作员口令这样的事还在发生。今年6月,加拿大温尼伯市两名14岁少年的参照网上的取款机服务手册操控了当地一家商店的取款机,他们猜出了取款机的6位操作员口令,清楚地看到这台机器里还剩下多少现金、当天的每一笔交易记录,包括银行卡信息、取款额等等。两位少年把发现的漏洞报告给了银行,银行立刻更改了口令。

但这种正直的少年黑客又有多少呢?

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2014-11-19

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

雅虎又泄露3200万账户数据,这次是因为「cookie伪造」攻击

前科技巨头雅虎近期公布的消息显示:在过去两年间,有入侵者进行“cookie伪造”攻击,造成3200万账户泄露。 特别要说明的是,此次泄露事件是独立存在的,和前几...

20750
来自专栏逍遥剑客的游戏开发

DIY一个VR小钢炮

25060
来自专栏大数据文摘

从《2015年中国互联网安全报告》看安全趋势发展(下载)

19950
来自专栏FreeBuf

集齐7把钥匙,掌控全球互联网DNS

很少有人知道,庞大的互联网系统背后隐藏着一个神秘的组织,这个神秘组织的成员是来自世界各地的网络安全专家,他们手中的钥匙可以组合成控制DNS系统的主钥匙,可以影响...

24350
来自专栏FreeBuf

盘点21世纪以来最臭名昭著的15起数据安全事件

随着互联网的普及,人们的生活也越来越数字化。例如智能家居,联网的医疗设备,网络购物,网银转账等。但技术是把双刃剑,为我们带来方便的同时,也给我们带来了潜藏的安全...

31350
来自专栏CIT极客

极客周刊丨腾讯喜得fuckqq.com,外涵段子已上线,美团用户信息遭泄...

35050
来自专栏软件开发

你不知道网络安全有多严峻

随着大数据、AI(人工智能)与互联网络的高速发展新的网络安全问题变得越来越严峻,自己身边时不时总有人被网络诈骗,为了更少的人被攻击写了这些文字。

44430
来自专栏黑白安全

特斯拉门锁存在安全漏洞 黑客盗取汽车只需数秒钟

据The Verge北京时间9月11日报道,比利时鲁汶大学的研究人员发现一种欺骗特斯拉无钥匙进入系统的方法。黑客只需与车主擦肩而过、复制其密钥,数秒钟时间就能轻...

8020
来自专栏玉树芝兰

勒索蠕虫爆发背后

2017年5月12日晚8时,勒索蠕虫爆发,很多人中招。大家口耳相传时,说什么都无所谓,毕竟大众不是专业技术人士。但是一些有知名度的自媒体,未弄清楚事实便以讹传讹...

11240
来自专栏安恒信息

云计算公司遭遇峰值流量400Gbps的DDoS攻击

昨日,提供防御DDoS攻击服务的云计算公司Cloudflare遭遇了史上攻击流量最大的分布式拒绝服务攻击(DDoS),据Cloudflare ...

41990

扫码关注云+社区

领取腾讯云代金券