回想两年前。上午12点33分,台湾台中市某地的一台自助取款机,无故吐出了90000 TWD(新台币),约合2900美元。
而当时并没有任何人在自动取款机上提钱。事实上,这个看似奇怪的系统故障实际上是一个测试:成功渗透第一商业银行伦敦分行服务器的人正向7,000英里外的现金点发出指令,以检查其是否有可能发生远程控制的抢劫。
在15个小时内,台中及台北市其他分行的共计41台自动取款机共吐出了8327万新台币,约合当前的270万美元。
尽管台湾警方成功抓获了这起百万美元抢劫案的嫌疑人(其中大部分人来自于欧洲国家),但许多利用ATM机(甚至整个金融系统)缺陷和弱点的匿名罪犯仍逍遥法外。
普通的ATM用户无法抵御这种对银行的攻击。但只要保持警惕,就能帮助警方将罪犯绳之以法。之所以能成功抓获劫匪离不开公民提供的有价值的情报信息,有公民注意到外国人的可疑行为并收集相关信息后,向执法部门报告并提供了犯罪嫌疑人的汽车车牌号和一张由犯罪嫌疑人意外遗留下来的信用卡。
和任何其他计算设备一样,ATM也存在漏洞。
ATM由计算机(及其外围设备)和保险箱组成。前者封装在一个柜子里。无论ATM是独立的自助终端还是“墙洞”,都是一样的。机柜本身并不是特别安全或坚固,这就是为什么犯罪分子可以使用简单的工具和可在线购买的钥匙锁进入计算机或保险箱的原因。
计算机通常运行在Windows上 – 一款专门为ATM设计的版本。ATM用户通常无法看到熟悉的Windows桌面界面,因为访问受到限制。而我们看到的则是面向用户的应用程序,该应用可帮助用户完成与机器的交易。
到目前为止,许多ATM仍在Windows XP上运行。如果操作系统已过时,那么可能其中的软件也可能需要进行一些升级。也就是说,犯罪分子可以充分利用软件漏洞并控制远程系统。
在某些情况下,公共场所可见的USB端口等接口可能会让一些恶意用户有可乘之机,将恶意软件通过便携式设备感染机器。由于其中可能并未安装安全软件,并且外围设备和操作系统之间缺乏必要的身份验证,因此感染的可能性就非常的大。截至目前,已经发现了20种已知的针对ATM的恶意软件。
自动取款机直接连接到存放现金的保险箱。通过受感染的计算机犯罪分子可以轻而易举的访问计算机和保险箱之间的界面,并发出指令让其发放现金而不需要使用被盗客户的银行卡信息。
ATM计算机和事务处理服务器之间的流量通常并不加密,黑客可以轻松拦截从客户到银行服务器的传输数据。更糟糕的是,众所周知,ATM在防火墙保护策略上也是一团糟,这也使得它们更易受到网络攻击。
其他值得注意的问题有,应用程序控制软件的配置错误,缺乏硬盘加密,几乎没有对用户访问Windows界面和将其他硬件设备引入ATM的保护机制。
攻击银行服务器只是罪犯获取账户持有人卡信息,以及他们辛苦赚来的钱的众多方法之一。其中有些方法很聪明,也很有战术性。而有些则更具破坏性和危险性。总之,你只需知道一点那就是罪犯会不惜一切代价实施他们的犯罪行为。
我们根据分类突出显示了ATM攻击的类型:终端篡改,物理攻击,逻辑攻击和社交工程。
本文,我们将深入探讨前两类的攻击。
大多数ATM欺诈活动都涉及到对机器部件进行物理操作或向其引入设备以使该方案起效。
银行卡盗刷(skimming)。通常是将读卡器(skimmer)和键盘叠加或针孔摄像头的串联设备分别置于卡槽和键盘上。越接近机器,就越能发挥作用(并且不太可能引起怀疑)。
第二个读卡器的目的是从卡的磁条和PIN中复制数据,以便犯罪分子可以伪造卡片。
当然,除此之外也有很多其他的方法可以用于偷偷地捕获卡和PIN数据。例如,可以接入ATM网络电缆的skimming设备,它可以拦截传输中的数据。
犯罪分子可以通过购买二手自动取款机(以便宜的价格)来伪造一个虚假的提款点,当然这些取款机并不会吐钱。到目前为止,可以说这是最有说服力的方法,因为再谨慎的账户持有人也不会怀疑整个ATM机都是假的。
Skimming设备也可以在商店或销售点(POS)终端使用。有些skimmers非常的小,可以藏在一只手中,这样,如果有不怀好意的人拿到了支付卡,那么他们可以在POS终端上刷卡后快速的将放其在skimmers刷一遍。这是一段前麦当劳员工的盗刷视频。
垫片(Shimming)。人们可以将垫片称为升级形式的skimming。 虽然它仍以卡片为目标,但其重点是记录或窃取其嵌入式芯片中的敏感数据。
一个像纸一样薄的垫片设备插在ATM的卡槽中,它位于卡和ATM的芯片阅读器之间。这样,当机器的芯片阅读器正在读取时,shimmer将会记录来自卡芯片的数据。与早期的skimming设备不同,如果能够完美插入,shimmer几乎不可见,并难以检测。但是,安装了垫片装置的一个标志就是,插入银行卡时会感觉插槽很紧。因此,如果遇到这种情况不妨多留个心眼。
从芯片卡(也称为EMV卡)中窃取的数据可以被转换为磁条数据,而这些数据又可用于创建传统磁条卡的伪造版本。
如果你还记得的话,发行人曾经说过,与传统银行卡相比,EMV卡提供了更好的防欺诈保护。
随着越来越多的用户和商家青睐芯片卡,无论是因为方便还是行业合规性,可以预见的是罪犯最终会找到一种规避芯片安全并从中读取数据的方法。
卡陷阱(Card trapping)。虽然没有像其他ATM攻击方案那样被广泛报道,但不幸的是,card trapping攻击仍然存在。就在最近,一名17岁的女孩因此失去了她人生的所有储蓄。
Card trapping是一种方法,犯罪分子会在自动柜员机的插卡口内放置一个小夹子,等用户将卡插入完成交易后卡就被夹子夹住无法退出。这时卡主人可能会认为卡被柜员机“吃掉”了,认为是柜员机出了故障而离开。用户使用卡时会有人偷看输入的密码,等卡主人离去后骗子便在几分钟之内将卡上的钱取空。
另一种已知的卡陷阱称为spring trap。
现金陷阱(Cash trapping)。 一个工具 – 一个类似爪子的工具,一个巨大的叉状装置,在ATM取款后保持现金槽打开,从而能够提取到目标的部分现金或全部现金。
Cash trapping的做法,通常是将一台假的取款机放到真正的取款机前。
如果无法用聪明的手段实施抢劫,那么犯罪分子可能会采用更为简单粗暴的方式。例如使用固体或气体爆炸物,用链子套索将机器连根拔起并拖走, 撞车袭击,使用挖掘机将墙上安装的自动取款机从建筑物中挖出来。大锤、撬棍和锤子也为他们创造过奇迹。
相关视频:https://youtu.be/VTe0cdxdSEo
根据欧洲安全交易协会(EAST)的数据,在欧洲,ATM的整体物理攻击正在持续增加。从2017年到2018年,总损失增加了16%(从3460万美元增加到4020万美元),报告事故增加了27%(从3584增加到4549)。大部分损失都是由于爆炸或气体袭击,随后抢劫和撞车袭击造成的。
“固体爆炸袭击的成功率尤令人担忧,”EAST执行董事LachlanGunn在报告中说。“这类攻击正持续在地理上进行蔓延,两国于2019年初首次报告这些攻击。”
ATM安全工作组(ATMSWG)发布了一份关于针对ATM物理攻击的最佳实践的文件[PDF],金融机构,银行和ATM商家可以参考并使用他们的计划来加强其机器的物理安全性。同样,ATM行业协会(ATMIA)也有一个关于如何防止ATM气体和爆炸性攻击的便捷指南[PDF]。
很显然,金融机构和ATM提供商还有很长的路要走,以充分解决欺诈和盗窃问题,他们也一直在寻找和应用加强安全措施的方法。当然,ATM用户也不应该放松警惕。
通过阅读和遵循以下提示,尽量减少面临被篡改的ATM或潜伏的其他危险的可能性:
选择一个看起来相对安全的ATM机。有很好的光线,路人可以看到它,并且有一个CCTV摄像头对准它。理想情况下,最好是去室内的自动取款机,可以在银行分行,商场,餐馆,便利店等处找到。尽量避免使用被忽视或破坏的机器。
如果您发现自己处于一个你不熟悉的区域,请尝试使用符合我们提到的大部分物理要求的ATM。
ATM取款最好有人陪伴,尤其是在正常的银行营业时间以外。如果交易出错,你的朋友或亲戚可能会有所帮助。此外,他们的存在也可以抵御抢劫犯和/或陌生人。
检查自动取款机。查找可能从其后面或任何外围设备中伸出的设备。寻找假前线(卡和钱槽、键盘,或者更糟的是,在整个机器的表面上),摄像头可能观察到的小孔,裂缝,不匹配的按键颜色等。向银行报告任何这些迹象,然后寻找使用其他的ATM机。
最后,找出任何你认为在你附近闲逛或可疑行为的人。不要正面与他们发生冲突。相反,如果他们的行为足够可疑,则立即向警方报告。
当你使用自动取款机时,收起任何会分散你注意力的东西,例如你的手机和任天堂游戏机。这些可能会使你放松警惕以及对周围环境的认识,这样一来就给了罪犯利用这些环境的机会。
尝试拉动读卡器和自动取款机,确保没有额外附加的设备。
在输入你的密码时,不管你是不是一个人,最好都用手遮挡住键盘。如果你身后有人在排队而距离又非常的近,那么你应该及时提醒他们向后移动,以保持在安全距离内。
切记务必打印一份你的ATM收据,为了安全起见把它收起来。这样,你就可以作为参考,并与你的银行对账单进行比较。
把你的卡、现金和收据迅速而小心地放好。
如果自动取款机没有吐出你的卡,请留在机器旁并拨打银行的24/7支持电话并冻结/挂失你的卡,这样罪犯将无法使用它。如果后面有人在排队你可以告诉他们你的卡被卡了,在你把它取出来之前,他们是无法使用这台机器的。
如果自动取款机没有取出钱,请记录发生这种情况的确切日期、时间和自动取款机的位置,并拨打银行的24/7支持电话。也可以用手机拍几张照片,然后将照片的副本发送给自己(通过短信或电子邮件),这样你就有了一个数字记录和证明。
同时,请致电你的发卡机构或银行申请索赔并说明情况。如果你是在银行大楼内使用的自动取款机,那么这样的问题将会更快解决。
如果这发生在便利店,请立即告诉员工。这样,他们也可以阻止其他的商店购物者使用故障机器。
定期查看你的银行对帐单,了解你的提款和/或卡片使用情况。如果你发现任何欺诈行为,请立即向你的发卡行报告。
人们并不总是必须继续从ATM取款。如果消费者可以在不使用ATM现金的情况下支付货款,他们应该考虑这些选项。
许多人声称,使用您的卡或智能手机的非接触式或点击支付功能是完全打击帐户(和ATM欺诈)的有效方式。
对于本系列的第2部分,我们将探讨犯罪分子对ATM及其用户使用的逻辑和社交工程类攻击。在此之前,请留意并保持你的用卡安全!
*参考来源:malwarebytes,FB小编secist编译,转载请注明来自FreeBuf.COM