黑客组织利用“jackpotting”攻击技术攻击美国自动取款机(ATM),强迫取款机吐出现金。
美国特勤局(Secret Service)周五发布的警报称,攻击中,攻击者要对取款机进行实际操作,然后在机器中安装恶意软件或专业电子设备(或二者结合安装),以此来控制ATM的运作。
攻击者的目标是那些位于药房和大卖场的单独ATM以及汽车餐厅的ATM。攻击事件中,涉案的既有个人也有大型团伙(包括地方和国际犯罪集团)。
警告称,“特勤局最近从合作伙伴电子犯罪工作组(ECTF)得到可靠信息,美国遭遇了有计划的Jackpotting攻击。随后,我们提醒了本次攻击可能会波及的执法伙伴和金融机构。”
两种攻击方式:木马和黑箱
卡巴斯基实验室首席安全研究员Sergey Golovanov称:“实施jackpotting攻击的两种最常见方式是通过木马和黑箱攻击(Blackbox)。”
Golovanov表示,通过木马进行jackpotting攻击,攻击者会连接闪存驱动器或CD-ROM,从而将恶意软件上传到ATM机,或试图通过网络攻击机器。
第二种方法就是黑箱,就是将第三方设备(例如笔记本电脑或树莓派)连接到自动提款机上。
Golovanov表示,针对现存的两种jackpotting攻击方法,都有特定的保护方法。但最终还是由银行来决定是否执行保护方法。
尽管jackpotting攻击在欧洲和亚洲长期存在,但是本月初攻击美国ATM运营商还是头一次。最近发现的攻击中,黑客依靠黑箱技术从ATM取走现金。
除了特勤局之外,NCR和Diebold Nixdorf等ATM厂商也于上周发出了警报。
NCR安全市场总监Owen Wild表示,NCR已发布警报和相关指导,会定期与金融解决方案客户合作,积极应对影响该行业的安全和欺诈事件。目前来看,逻辑攻击对整个行业造成了影响。美国首次确认的损失案例就是由逻辑攻击导致的。
在美国,攻击者的主要攻击目标似乎是Diebold的Opteva 500和700系列ATM机。他们借助内窥镜,在自动取款机内部查出连接攻击者笔记本的端口,该笔记包含ATM操作系统的镜像。
攻击使用了恶意软件Ploutus.D
这些攻击中还使用了 Ploutus 恶意软件新变种Ploutus.D。Ploutus 于2013年首次被研究员发现,其目标是墨西哥的自动取款机。但到了2014年,该恶意软件可通过短信提取现金。
该恶意软件一旦部署到ATM,就可以短短几分钟内帮钱骡子(指替人将偷来的钱或物转到另一国家的人)拿到数千美元。为了从ATM分发钱,钱骡子必须具有打开ATM的顶部(或能够拾取)的主密钥,连接到机器的物理键盘,以及由操作的负责人提供的激活码。虽然有被摄像头拍到的风险,但是迅速的操作使得钱骡子的风险最小化。Ploutus.D主要针对Diebold ATM,全球80个国家的40家不同ATM供应商都容易遭受攻击。
攻击ATM不需要高深的技术。任何人 “投入少量现金,就可以成为这个领域的专业小偷”。银行在保护自动取款机方面,应该多关注读写器和隐藏摄像机。
为了降低成本并更好地服务客户,银行越来越重视诸如ATM和移动等数字渠道,自然而然,网络犯罪就随之而来。绝大部分的ATM损失还是由技术含量相对较低的略读攻击(skimming)造成的,但是如果攻击结合物理访问(即主密钥和键盘)以及更复杂的恶意软件,将为黑客带来更多收入。
领取专属 10元无门槛券
私享最新 技术干货