黑客洗劫美国ATM，银行数字化风险重重

黑客组织利用“jackpotting”攻击技术攻击美国自动取款机（ATM），强迫取款机吐出现金。

美国特勤局（Secret Service）周五发布的警报称，攻击中，攻击者要对取款机进行实际操作，然后在机器中安装恶意软件或专业电子设备(或二者结合安装)，以此来控制ATM的运作。

攻击者的目标是那些位于药房和大卖场的单独ATM以及汽车餐厅的ATM。攻击事件中，涉案的既有个人也有大型团伙（包括地方和国际犯罪集团）。

警告称，“特勤局最近从合作伙伴电子犯罪工作组（ECTF）得到可靠信息，美国遭遇了有计划的Jackpotting攻击。随后，我们提醒了本次攻击可能会波及的执法伙伴和金融机构。”

两种攻击方式：木马和黑箱

卡巴斯基实验室首席安全研究员Sergey Golovanov称：“实施jackpotting攻击的两种最常见方式是通过木马和黑箱攻击（Blackbox）。”

Golovanov表示，通过木马进行jackpotting攻击，攻击者会连接闪存驱动器或CD-ROM，从而将恶意软件上传到ATM机，或试图通过网络攻击机器。

第二种方法就是黑箱，就是将第三方设备（例如笔记本电脑或树莓派）连接到自动提款机上。

Golovanov表示，针对现存的两种jackpotting攻击方法，都有特定的保护方法。但最终还是由银行来决定是否执行保护方法。

尽管jackpotting攻击在欧洲和亚洲长期存在，但是本月初攻击美国ATM运营商还是头一次。最近发现的攻击中，黑客依靠黑箱技术从ATM取走现金。

除了特勤局之外，NCR和Diebold Nixdorf等ATM厂商也于上周发出了警报。

NCR安全市场总监Owen Wild表示，NCR已发布警报和相关指导，会定期与金融解决方案客户合作，积极应对影响该行业的安全和欺诈事件。目前来看，逻辑攻击对整个行业造成了影响。美国首次确认的损失案例就是由逻辑攻击导致的。

在美国，攻击者的主要攻击目标似乎是Diebold的Opteva 500和700系列ATM机。他们借助内窥镜，在自动取款机内部查出连接攻击者笔记本的端口，该笔记包含ATM操作系统的镜像。

攻击使用了恶意软件Ploutus.D

这些攻击中还使用了 Ploutus 恶意软件新变种Ploutus.D。Ploutus 于2013年首次被研究员发现，其目标是墨西哥的自动取款机。但到了2014年，该恶意软件可通过短信提取现金。

该恶意软件一旦部署到ATM，就可以短短几分钟内帮钱骡子（指替人将偷来的钱或物转到另一国家的人）拿到数千美元。为了从ATM分发钱，钱骡子必须具有打开ATM的顶部（或能够拾取）的主密钥，连接到机器的物理键盘，以及由操作的负责人提供的激活码。虽然有被摄像头拍到的风险，但是迅速的操作使得钱骡子的风险最小化。Ploutus.D主要针对Diebold ATM，全球80个国家的40家不同ATM供应商都容易遭受攻击。

攻击ATM不需要高深的技术。任何人 “投入少量现金，就可以成为这个领域的专业小偷”。银行在保护自动取款机方面，应该多关注读写器和隐藏摄像机。

为了降低成本并更好地服务客户，银行越来越重视诸如ATM和移动等数字渠道，自然而然，网络犯罪就随之而来。绝大部分的ATM损失还是由技术含量相对较低的略读攻击（skimming）造成的，但是如果攻击结合物理访问（即主密钥和键盘）以及更复杂的恶意软件，将为黑客带来更多收入。