作者: Trend Labs 趨勢科技全球技術支援與研發中心

從古至今，只要錢財聚集之處，就容易成為犯罪溫床。到銀行搶錢，必須突破層層保全與警衛，得手機率低且風險大，相形之下，隻身佇立在各角落的ATM，看在犯罪者眼中，確實是更易下手的標的，加上攻擊手法會流傳於暗網市集，學習精進空間大，導致ATM攻擊事件日趨頻繁。

趨勢科技資深威脅研究專家Fyodor Yarochkin，日前透過一場「The Age of Broken ATMs那些年，他們搶的ATM」演講指出，回溯 ATM攻擊史，最令人印象深刻的一次演繹，為 2010年黑帽大會上由已故白帽駭客 Barnaby Jack 展示如何駭進 ATM令其吐鈔。

Fyodor說，ATM攻擊者的明確目標就是拿錢，無論透過實體攻擊、盜拷卡片資料、Jackpotting(利用惡意程式控制吐鈔)，或TRF(Transaction Reverse Fraud)，全都圍繞在此目的；其中在去年(2016)震驚全臺的第一銀行ATM盜領事件，即屬於Jackpotting。

3D 列印技術盛行，但ATM惡意程式更令人擔憂

實體攻擊的常見型態，乃是借助炸藥、鑽探等工具，將ATM整臺搬走，是最耗時費力、也最易敗露行跡的攻擊手法，因此逐漸式微。至於發生頻繁曾經頗高的Skimmer或Shimmers，前者意指傳統磁條卡側錄器，後者則為晶片卡側錄器，它們的目的不在讓ATM吐鈔，亦非獲取鈔票箱裡的錢，而是記錄使用者的卡片資訊；Fyodor認為，隨著3D列印技術的發達，唯恐降低Skimmer或Shimmers製作門檻，使得原本不具足夠Know-how的宵小之徒，皆可能從事非法側錄動作，可謂一大隱憂。

但更值得人們嚴陣以待的攻擊手段，則為ATM惡意程式；只因此類犯罪的複雜性不斷攀升，攻擊範圍與規模日益擴大，對於銀行而言，堪稱是殺傷力最強的威脅之一。

回顧ATM惡意程式演進歷程，2009年資安研究人員發現在俄羅斯、烏克蘭有一隻Skimer軟體，不僅能在ATM竊取用戶的錢，也能將ATM變為側錄機，算是史上第一隻ATM惡意程式。

爾後從2014年開始，ATM惡意程式推陳出新的速度不斷提升，其間不管是2014、2016年期間偷遍歐洲與東南亞的Padpin(含變種)，及同樣發生在2016年的ATMitch、Alice，及臺灣的ATM盜領事件，都相當駭人聽聞。

Fyodor回憶2016年ATM盜領案爆發當時，許多銀行如驚弓之鳥，紛紛把特定廠牌ATM換置下架，他認為並非有效做法，因這起攻擊事件的癥結，並不是出在ATM訊號問題，而在於背後操刀的駭客已鎖定攻擊對象，接著分析該對象的ATM設備漏洞；換言之只要目標對象持續被鎖定，即便將ATM悉數換過，仍有很大機會遇駭。

疑似與一銀案相同班底的犯罪者，可能的作案地點至少包括了吉爾吉斯、塔吉克等國家，遭駭客攻破的ATM廠牌機型，與一銀案件皆不相同。

ATM惡意程式觸角，可能延伸至其他設備

Fyodor接著說，2017年ATM惡意程式持續演進，例如發生在墨西哥與秘魯、號稱不需銀行卡即可清空ATM鈔票的Ploutus.D，有趣之處在於該程式必須靠授權金鑰啟動，時間僅24小時，堪稱是暗黑市集中新穎的商業模式。至於發生在印度的Rufus，是一款USB開機隨身碟軟體，只要駭客設法插入ATM的USB埠，就能讓機器輕鬆吐錢。

今年10月，暗黑市集中有人叫賣ATM惡意軟體工具箱，背後發起人為「Cutlet Maker」，針對ATM惡意軟體提供詳細使用手冊，強調只要利用供應商的API，無需費心取得ATM用戶資訊，即可成功從ATM盜取金錢。

總括而論，Fyodor認為展望未來，ATM攻擊行為不會消失，且將出現更大規模演化，舉凡自助付款機(UPT)、收銀機(POS)或自動售票機，都可能遭到駭客染指，值得留意。

由於人們對於ATM攻擊議題的關注度持續增高，趨勢科技特別透過粉絲頁接受相關提問，因反應熱烈，最終Fyodor偕同趨勢科技資深研究員Philippe Lin精選5個常見問題，並由Philippe進行回答。

針對備受關切議題，趨勢科技進行解惑

問題之一為「網路 ATM 與實體 ATM 的安全性是否有差異？」，Philippe答覆兩者運作方式歧異，網路ATM理論上需要你在電腦執行另一擴充套件，駭客埋伏在水坑(Waterhole)盯哨，Fingerprint你是否為某特定銀行的用戶，再進行攻擊。問題之二為「實體隔離是否可解決一銀案問題？」，Philippe認為此次一銀案的所有攻擊皆透過網際網路進行，故實體隔離可有效增加攻擊難度，但相信駭客仍會嚐試找尋別的出路。 繼續閱讀