内鬼通外神！黑客与加油站员工联手用恶意软件偷油

E安全1月24日讯 俄罗斯联邦安全局（简称FSB）于2018年1月20日在斯塔夫罗波尔逮捕了黑客丹尼斯·扎耶夫，并指控其将设计开发的多款软件程序出售给心存恶意的加油站主管级员工，利用恶意软件在消费者加油时偷偷减少3%~7%汽油，再由加油站员工将偷来的油卖给其他消费者，估计数十个加油站受害，不法获利数十亿卢布。

受害者：加油的车主

俄罗斯新闻媒体 Rosbalt 的一篇报道指出，俄罗斯南部的数十家加油站都受到 Zayev 所开发的恶意程序的感染，诈骗行为是针对来加油的车主，加油站并未受到任何损失，但也没有获利，因为获利全都落到加油站员工与黑客的口袋了。

该恶意软件几乎不可能被当地检查员以及石油公司的远程汽油库存监测工具所发现。这些恶意软件同时安装在油表计数器与收银机上，加油站的员工每天早上会先清空一个油槽，当车主加油时，恶意软件会自动少灌输3%~7%的汽油，但计数表上的显示却是正常的，再将多出的汽油引至事先清空的油槽中，而且恶意会清除这些程序的操作，让它不落痕迹。之后加油站员工再销售盗来的汽油，且藉由收银机上的恶意软件移除销售纪录，再与黑客分赃，这种方式已让他们获利数十亿卢布。

目前尚不清楚俄罗斯当局到底是如何揭开这一骗局的。由于车主一般很难察觉汽油被少加了3%~7%，再加上加油站并无损失，这类的诈骗案几乎不容易被发现，外界则猜测应是被知情人士检举。该软件目前仅被发现于地处俄罗斯南部的加油站设施当中。俄联邦安全局方面并没有就此事的媒体采访邮件作出回应。

加油站经常被盯上

事实上，针对加油站的黑客攻击已经不是什么新鲜事物。早在2014年，美国纽约州当局就指控13名男子在2012年至2013年期间利用具备蓝牙功能的浮油回收装置从美国南部多座加油站的客户处窃取200多万美元。

研究人员凯尔·威尔霍伊特与史蒂芬·希尔特在2015年 Black Hat 大会发布的演示文稿当中也强调称，美国本土大量接入公共互联网的油泵监测系统正面临日益增加的安全风险。他们警告称，这些暴露在互联网当中的 SCADA系统可能允许恶意攻击者对油泵实施 DDoS攻击，填充错误数据，并通过人为操纵令油泵加注柴油燃料而非无铅汽油——这可能导致客户车辆发生损坏。

注：本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com/news/595094531.shtml