credit: 123RF
入侵自動取款機,在本地給它們註入惡意軟件聽起來很不錯,不過,當你被安全警衛抓起來扔進監獄的時候,可能就沒那麼有趣瞭。正因如此,現在,越來越多的網絡罪犯不再選擇親自動手。
在最新的網絡威脅報告中,Trend Micro 公司的研究人員強調,針對 ATM 機的網絡攻擊越來越多,這傢跨國安全軟件公司稱之為 " 惡意軟件界的轉型 ",這些攻擊可能導致 ATM 機狂吐數萬美元,不同於偽造的 ATM 卡槽和鍵盤,以及需要在本地入侵的惡意軟件,網絡攻擊不需要與機器的物理接觸。
對罪犯來說,網絡攻擊還有一個好,就是想入侵哪臺 ATM 機就哪臺,而對機器進行實體的魔改就需要小心行事:在夜色的掩護下,悄咪咪接近巷子或是角落裡的機器,暗處還可能藏著警察和眼線。一次遠程的攻擊則不需要在大晚上進行,錢騾 ( cash mule ) 可以接近任意的 ATM 機,未經仔細檢驗,可能會進行合法的 ATM 活動。
在評估 ATM 惡意軟件如何發展的過程中,Trend Micro 與歐洲刑警組織的歐洲網絡犯罪中心 ( EC3 ) 合作,來甄選這些更新、更隱蔽的技術。作為一個著名的例子,研究人員指出瞭去年在泰國發生的 "RIPPER" 惡意軟件攻擊,21 臺自動取款機總共被盜竊瞭 1229 萬泰銖 ( 約合 34.6 萬美元 ) ( 當時約合 37.8 萬美元 ) ,最終,有大約一萬臺 ATM 機被檢查出來有感染 "RIPPER" 病毒的風險。
Trend Micro, Europol
正如 Trend Micro 所指出的那樣,基於網絡的入侵並不容易做到,而且,遠程的黑客攻擊有天生的風險:抹去自己的網絡身份可不比現實中戴上手套和面具那麼簡單。入侵銀行的過程本身也是相當復雜的。銀行員工是一個常見的突破口,人類是最不可靠的。對任何公司的安全來說,通常都是最薄弱的一個環節。
包含惡意可執行文件的網絡釣魚郵件是竊取銀行員工許可證的首選方法。一旦黑客獲得訪問權限,他們可以在銀行的網絡橫向傳遞,以獲得對 ATM 機的控制權。Trend Micro 的記錄指出:" 有些系列的惡意軟件甚至具有自我刪除功能,有效抹除瞭大部分的犯罪活動痕跡。
另一個著名的例子是 2016 年 7 月臺灣第一商業銀行被入侵。臺灣 22 個分行被竊取瞭約合 240 萬美元。而黑客全程都是遠程操作。
這次的攻擊極其復雜:它開始於第一商業銀行的倫敦分行,黑客利用銀行的錄音系統來竊取域管理權的權限,使用這些許可來黑入公司的專網,繞過防火墻端口以獲得臺灣地區分行的網絡訪問權限。一旦進入,他們就找到瞭 ATM 機更新軟件的系統,使用一個假的系統更新包,黑客們就能在 ATM 機上啟用遠程通信網服務,這允許他們上傳各種程序來測試 ATM 機,並在最終強制進行未經允許的操作。
與此同時,錢騾在一旁,與黑客通過加密聊天通信,並報告測試的結果,一旦機器吐出現金,錢騾就將其搜集起來並轉移到下一臺機器上。研究人員說:" 與此同時,遠程黑客將惡意程序從被攻擊的 ATM 機上擦除並註銷。"
Trend Micro, Europol
報告指出:" 可能這些是已經進入銀行網絡的常規犯罪集團,後來意識到他們可以在 ATM 機網絡上做文章。" "Ripper 病毒的案例表明,有一些罪犯的目標就是 ATM 機網絡,而不是偶然。這些團夥都有利用這些機器獲取銀行其他任何資源的利益動機和技術能力。
研究人員補充說:" 雖然類似的網絡攻擊在美國和加拿大等更大地區沒有報道,但我們認為這是 2017 年及以後可能會加強的新勢頭。"
本文譯自 Gizmodo,由譯者 Nivy 基於創作共用協議 ( BY-NC ) 發佈。
