趨勢科技籲關注ATM攻擊走勢,持續探索防禦自保之道

從古至今,只要錢財聚集之處,就容易成為犯罪溫床。到銀行搶錢,必須突破層層保全與警衛,得手機率低且風險大,相形之下,隻身佇立在各角落的ATM,看在犯罪者眼中,確實是更易下手的標的,加上攻擊手法會流傳於暗網市集,學習精進空間大,導致ATM攻擊事件日趨頻繁。

趨勢科技資深威脅研究專家Fyodor Yarochkin,日前透過一場「The Age of Broken ATMs那些年,他們搶的ATM」演講指出,回溯 ATM攻擊史,最令人印象深刻的一次演繹,為 2010年黑帽大會上由已故白帽駭客 Barnaby Jack 展示如何駭進 ATM令其吐鈔。

Fyodor說,ATM攻擊者的明確目標就是拿錢,無論透過實體攻擊、盜拷卡片資料、Jackpotting(利用惡意程式控制吐鈔),或TRF(Transaction Reverse Fraud),全都圍繞在此目的;其中在去年(2016)震驚全臺的第一銀行ATM盜領事件,即屬於Jackpotting。

3D 列印技術盛行,但ATM惡意程式更令人擔憂

實體攻擊的常見型態,乃是借助炸藥、鑽探等工具,將ATM整臺搬走,是最耗時費力、也最易敗露行跡的攻擊手法,因此逐漸式微。至於發生頻繁曾經頗高的Skimmer或Shimmers,前者意指傳統磁條卡側錄器,後者則為晶片卡側錄器,它們的目的不在讓ATM吐鈔,亦非獲取鈔票箱裡的錢,而是記錄使用者的卡片資訊;Fyodor認為,隨著3D列印技術的發達,唯恐降低Skimmer或Shimmers製作門檻,使得原本不具足夠Know-how的宵小之徒,皆可能從事非法側錄動作,可謂一大隱憂。

但更值得人們嚴陣以待的攻擊手段,則為ATM惡意程式;只因此類犯罪的複雜性不斷攀升,攻擊範圍與規模日益擴大,對於銀行而言,堪稱是殺傷力最強的威脅之一。

回顧ATM惡意程式演進歷程,2009年資安研究人員發現在俄羅斯、烏克蘭有一隻Skimer軟體,不僅能在ATM竊取用戶的錢,也能將ATM變為側錄機,算是史上第一隻ATM惡意程式。

爾後從2014年開始,ATM惡意程式推陳出新的速度不斷提升,其間不管是2014、2016年期間偷遍歐洲與東南亞的Padpin(含變種),及同樣發生在2016年的ATMitch、Alice,及臺灣的ATM盜領事件,都相當駭人聽聞。

 

Fyodor回憶2016年ATM盜領案爆發當時,許多銀行如驚弓之鳥,紛紛把特定廠牌ATM換置下架,他認為並非有效做法,因這起攻擊事件的癥結,並不是出在ATM訊號問題,而在於背後操刀的駭客已鎖定攻擊對象,接著分析該對象的ATM設備漏洞;換言之只要目標對象持續被鎖定,即便將ATM悉數換過,仍有很大機會遇駭。

疑似與一銀案相同班底的犯罪者,可能的作案地點至少包括了吉爾吉斯、塔吉克等國家,遭駭客攻破的ATM廠牌機型,與一銀案件皆不相同。

ATM惡意程式觸角,可能延伸至其他設備

Fyodor接著說,2017年ATM惡意程式持續演進,例如發生在墨西哥與秘魯、號稱不需銀行卡即可清空ATM鈔票的Ploutus.D,有趣之處在於該程式必須靠授權金鑰啟動,時間僅24小時,堪稱是暗黑市集中新穎的商業模式。至於發生在印度的Rufus,是一款USB開機隨身碟軟體,只要駭客設法插入ATM的USB埠,就能讓機器輕鬆吐錢。

今年10月,暗黑市集中有人叫賣ATM惡意軟體工具箱,背後發起人為「Cutlet Maker」,針對ATM惡意軟體提供詳細使用手冊,強調只要利用供應商的API,無需費心取得ATM用戶資訊,即可成功從ATM盜取金錢。

總括而論,Fyodor認為展望未來,ATM攻擊行為不會消失,且將出現更大規模演化,舉凡自助付款機(UPT)、收銀機(POS)或自動售票機,都可能遭到駭客染指,值得留意。

由於人們對於ATM攻擊議題的關注度持續增高,趨勢科技特別透過粉絲頁接受相關提問,因反應熱烈,最終Fyodor偕同趨勢科技資深研究員Philippe Lin精選5個常見問題,並由Philippe進行回答。

針對備受關切議題,趨勢科技進行解惑

問題之一為「網路 ATM 與實體 ATM 的安全性是否有差異?」,Philippe答覆兩者運作方式歧異,網路ATM理論上需要你在電腦執行另一擴充套件,駭客埋伏在水坑(Waterhole)盯哨,Fingerprint你是否為某特定銀行的用戶,再進行攻擊。問題之二為「實體隔離是否可解決一銀案問題?」,Philippe認為此次一銀案的所有攻擊皆透過網際網路進行,故實體隔離可有效增加攻擊難度,但相信駭客仍會嚐試找尋別的出路。 繼續閱讀

世界備份日( World Backup Day):三二一原則

 

世界備份日 World Backup Day

許多人可能沒有注意到 3 月31 日這天也是世界備份日( World Backup Day)。有這麼一天去提醒你備份資料有多麼重要是個很好的主意。尤其是近年來 勒索病毒 Ransomware已成為全民公”駭”,雖然預防重於治療,但若您的重要檔案都已備份,您至少可以將 勒索病毒 Ransomware的傷害降至最低。雖然系統被鎖住還是一件不幸的事,但至少不會是一場災難,因為您還可以復原重要的檔案。

人們今日會產生越來越多的數據。就如同我們的資料圖表所顯示,行動設備也是我們每天產生和儲存大量資料的一部分,而這不久之前還是無法想像的。加上我們從其他地方所產生的數據,讓人們有著大量的數位「物品」。

重要資料需要備份,因為失去它們可能會導致各種損害:從情緒上(例如失去家人的照片),到財務上(生意往來記錄)。你可以怎麼做呢?

最被接受的最佳備份實作規則是三二一原則。概括為:如果你要備份資料,你應該有:

  • 至少備份三份
  • 使用兩種不同形式
  • 其中一份備份要存放異地
  • 預防勒索軟體綁架電腦" 三不三要"

讓我們詳細解釋這些規則。它們都基於一個概念,真正做到:冗餘。這些規則都是為了確保你的資料以多種方式儲存,所以至少會有一個備份保留下來。

繼續閱讀

【Pawn Storm網路間諜行動】Adobe Flash 爆零時差漏洞,各國外交部恐遭駭

趨勢科技研究人員發現Pawn Storm正利用新的 Adobe Flash 零時差漏洞來發動新一波攻擊。Pawn Storm 是一個存在已久的網路間諜攻擊行動,以攻擊知名目標聞名,而且近兩年來更使用了 Java 有史以來第一個零時差漏洞

在最近一波攻擊行動當中,Pawn Storm攻擊了全球多個外交部。受害目標皆收到了含有漏洞攻擊連結的魚叉式網路釣魚郵件。其電子郵件和網址都經過精心設計,看起來都指向一些正常的時事新聞網頁,其使用過的電子郵件主旨包括:

「自殺汽車炸彈攻擊北約在喀布爾的護送車隊」
“Suicide car bomb targets NATO troop convoy Kabul”

「敘利亞軍隊在普丁的空襲掩護下推進」
“Syrian troops make gains as Putin defends air strikes”

「以色列空襲迦薩走廊上的目標」
“Israel launches airstrikes on targets in Gaza”

「俄羅斯警告將對美國在土耳其和歐洲提高核武的行為做出回應」
“Russia warns of response to reported US nuke buildup in Turkey, Europe”

「美軍表示有 75 位美國訓練的反抗軍將回到敘利亞」
“US military reports 75 US-trained rebels return Syria”

 

值得注意的是,其散布這項新零時差漏洞攻擊的網址與今年四月針對北大西洋公約組織和美國白宮的攻擊所用的網址類似。alert 病毒警訊

近來,各國外交部門已成為 Pawn Storm 特別關注的對象。除了惡意程式攻擊之外,歹徒也架設了各種假冒的 Outlook Web Access (OWA) 伺服器來攻擊各國外交部門,從事一些簡單卻極為有效的網路釣魚攻擊credential phishing attacks)。某個外交部甚至被竄改了內送郵件的 DNS 設定。這表示,Pawn Storm在 2015 年當中有好長一段時間一直在攔截該機構所收到的電子郵件。

根據我們的分析顯示,這個 Flash 零時差漏洞至少影響了 Adobe Flash Player 19.0.0.185 和 19.0.0.207 兩個版本。

圖 1:受影響的 Adobe Flash Player 版本。
圖 1:受影響的 Adobe Flash Player 版本。

繼續閱讀

報稅相關有趣調查:25%的人寧願看牙醫、塞在車陣裡或在急診室裡等待,也不想準備報稅瑣事

根據 Cint USA 去年所做的民調顯示,有超過四分之一的人寧願去看牙醫、塞在車陣裡或在急診室裡等待,也不想要準備報稅瑣事。(台灣的相關調查報告請看這裡)

Tax1報稅

嗯,這實在並不令人驚訝。但是,當超過一千名受訪者被問到他們對於網路報稅的想法時,我們獲得一些有趣的結果:

  • 62%已經或會用網路報稅
  • 73%認為在網路上報稅很安全
  • 67%在網路報稅時會擔心身份竊盜或個人財務資料遺失問題,超過五分之一表示非常的擔心。
  • 另一方面,59%的人認為網路報稅比郵寄紙本方式(41%)更安全
  • 有15%在過去的一年曾被通知網路帳號被外洩過

 

最放心幫忙自己報稅的名人: 44%的人選擇·巴菲特

從光明面來看,在選擇最放心幫忙自己報稅的名人時,44%的美國人會選擇·巴菲特,超過唐納川普的35%,聯準會主席伯南克的11%,以及瑪莎史都華的10%。

退稅會如何處理? 52%表示會用來還錢

當被問到如果有退稅會如何處理時,有52%表示會用來還錢,12%會拿來投資。7%的人會拿這筆錢來度假,而6%的人表示會花在買新車上。

跟報稅最有關的電影: 28% 選擇 Gone with the Wind(飄)

受訪者被提供五部電影當做選項,選擇哪一個和報稅最相像:

  • 28% Gone with the Wind(飄)
  • 25% Mission: Impossible(不可能的任務)
  • 19% Indiana Jones In the Last Crusade(聖戰奇兵)
  • 17% Les Miserables(悲慘世界)
  • 11% Liar, Liar(王牌大騙子)

如果你還沒有報稅,希望以上這些數據跟現象可以激發你趕快去報稅。假期愉快,遠離急診室、牙醫診所跟塞車。

@原文出處:Filing Taxes Online – 67% of Americans Concerned about Identity Theft or Losing Financial Data 作者:Richard Medugno

 

◎延伸閱讀

報稅季節<五要二不要>安全守則

安全報稅小提醒

 

免費下載 防毒軟體 PC-cillin 試用版下載

◎ 歡迎加入趨勢科技社群網站
 

《 CTO 看趨勢》漏洞揭露 – 開放還是保密?

作者:Raimund Genes(技術長)

在五月底,兩個Google安全工程師宣布來自Google總部關於零時差漏洞和揭露的新政策。他們強烈建議,已經出現在外的零時差漏洞資訊,廠商應該要在被通知後不超過七天內公布出來。理想狀況下,公告或修補程式都應該由廠商提供,但他們也表示,如果廠商沒有動作,研究人員應該要自己公布詳細的資訊。

這是個非常積極的作法。以微軟為例,對於重要修補程式並沒有設定公布期限:這需要在品質和時效性間尋求一個平衡點。要平衡這兩者並不容易。一方面,仍在活躍中的可攻擊漏洞會讓惡意軟體作者知道廠商的漏洞。另一方面,快速推出的修補程式可能會對應用程式和整體系統有負面影響,讓其更加脆弱。

幾乎每個安全廠商都曾經因為不小心而出現誤報。我們有許多的安全措施,像是白名單比對,但總是會有莫非定律。讓我們的產業因此影響了使用者的電腦。作業系統廠商在進行修補時要更加小心。他們需要有適當的品質保證,因為修補程式將會影響到數百萬台的電腦。

在我看來,七天後揭露的作法是合理而可行的,但期待在這時間內推出修補程式就不合理了。讓我們來看看Google本身會怎麼做。目前,有一個Google Android木馬程式正在擴散,它可以在「設備管理程式」中隱藏自己,讓安全軟體無法看到或試圖去清除它。這有可能是因為Android內的一個安全漏洞造成。Google可以在七天內解決這個問題嗎?讓我們拭目以待…

繼續閱讀