ATM吐钞捞金快 黑客盯上美国

E安全1月30日讯 全球最大的两家 ATM 制造商 Diebold Nixdorf(迪堡多富)和 NCR 发出警告称,网络犯罪分子正利用“jackpotting”的黑客手法瞄准美国的ATM机,使其吐钞。

jackpotting攻击方式起源

根据安全博客 Krebs on Security 的解释,ATM “jackpotting” 指的是一种犯罪方式:窃贼在ATM机上安装恶意软件和硬件迫使其按需大量吐钞。此前欧洲、亚洲的银行就曾面临这一威胁,如今黑客盯上了美国的 ATM 机。为了实施 “jackpotting” 攻击,窃贼首先必须对 ATM 机进行物理访问,此后利用恶意软件或专用电子设备(通常会将两者结合使用)控制 ATM 机的操作。

“jackpotting”是由知名白帽子黑客巴纳比·杰克发明的一种技术。

2010年,杰克在美国黑帽子(Black Hat)大会上第一次公开演示了如何使两台ATM机凭空吐钞,并给该技术命名为“jackpotting”,掀起了业界甚至公众对于ATM安全的关注,他也凭借该技术在美国黑客界声名鹊起。

2013年,杰克还计划在当年8月的黑帽子(Black Hat)大会上演示如何入侵心脏除颤器和心脏起搏器。他已研究出一种方法,可以在距离目标50英尺的范围内侵入心脏起搏器,并让起搏器释放出足以致人死亡的830V电压。

不幸的是,杰克于2013年在家中去世。近年来,“jackpotting”的攻击手法日益猖獗蔓延至全球。据外媒近日报道,黑客2017年已开始在墨西哥发动此类攻击。

据路透社报道,Diebold Nixdorf 和 NCR 这两家 ATM 制造商也表示已向客户发出警告,但未披露受害者,也未透露损失的具体金额。目前尚不清楚具体有多少资金被盗,因为受害者和警方通常不会披露细节。

jackpotting攻击如何实施?

NCR 发出警告称,这是美国首批已证实的因 jackpotting 遭遇损失的案例。但NCR 表示,近期这波攻击未影响自己的设备,但让整个 ATM 行业提心吊胆。所有ATM部署者应采取适当的措施防范 ATM 机遭到此类攻击。

利用恶意软件Ploutus.D

NCR 并未提及攻击美国 ATM 机的 jackpotting 恶意软件类型。但据一位消息人士透露,美国特勤局警告称,有组织的犯罪团伙使用“Ploutus.D(2013年首次发现的高级 jackpotting 恶意软件)”攻击美国的 ATM 机。

FireEye 表示,对恶意软件 Ploutus 代码稍作改变就可能对80个国家的40个不同的 ATM 供应商发起攻击。FireEye 的研究人员丹尼尔·雷加拉多曾写道,Ploutus可使网络犯罪分子使用外接键盘和通过短信清空 ATM 机。到目前为止,Ploutus攻击要求窃贼以某种方式获得 ATM 机的物理访问权,例如:

撬锁;

使用窃取来的主密钥;

移除或破坏 ATM 的部件。

雷加拉多指出,犯罪团伙通常会派“钱骡”执行高风险的任务,例如安装恶意电子硬件设备或物理干预 ATM 机。至此,攻击者便能将键盘连接到 ATM 机,利用团伙头目提供的激活码盗走 ATM 机的资金。一旦部署到 ATM 机,恶意软件Ploutus 将帮助犯罪分子分分钟盗走数千美元。“钱骡”可能被摄像头拍摄下来,但其操作速度太快,被拍下及被发现的可能性很小。

美国特勤局(USSS)向银行发出的机密警告指出,称黑客正瞄准 ATM 制造商Diebold Nixdorf 几年前已停产的机型Opteva,这些黑客锁定的是位于药房,大型零售商以及得来速(drive-thru)汽车餐厅的ATM机。2017年7月E安全曾报道,美国西雅图网络安全公司IOActive发布重要安全公告,详述了迪堡Opteva ATM机中存在物理与认证绕过问题,利用这些漏洞可能会让未经授权的攻击者从ATM设备中提取现金。

ATM吐钞捞金热潮

俄罗斯网络安全公司 Group IB 曾指出,2016年时,网络犯罪分子十几个欧洲国家的ATM机发起了远程攻击。同年,日本、泰国以及中国台湾地区也遭受了类似攻击。

2016年春天,犯罪组织仅用3小时就从日本 ATM 机盗走1300万美元(约合人民币8306万元)。

2016年夏天,台湾地区第一银行的 ATM 机也遭受了重大损失,该银行随即停用1000多台 ATM 机的提现服务,这起事件致使该地区损失逾200万美元(当时约1400万元)。警方逮捕了3名外籍嫌犯,并追回大部分赃款。

注:本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com/news/1175145986.shtml

  • 发表于:
  • 原文链接:http://kuaibao.qq.com/s/20180130A0EV8000?refer=cp_1026

扫码关注云+社区