全球兩大 ATM 提款機製造商 Diebold Nixdorf 和 NCR Corp. 日前發出警告:美國境內已首次出現 ATM 吐鈔攻擊 (Jackpotting) 的案例。稍早之前,美國特勤局 (U.S. Secret Service) 才發出相關警告表示,網路犯罪集團目前已有多種技巧可以強迫 ATM 提款機吐鈔。這種犯罪手法在犯罪地下網路上稱為「ATM Jackpotting」(ATM 開頭獎),頗有將提款機當成賭場拉霸機的意味。
這類強迫 ATM 吐鈔的攻擊最早出現在俄羅斯,隨後傳到了歐洲、亞洲、拉丁美洲和墨西哥。資安專業記者 Brian Krebs 在 1 月 27 日接獲 Diebold Nixdorf 公司的資安警告,指出美國境內發生的 ATM 吐鈔攻擊與 2017 年 10 月發生在墨西哥境內的攻擊類似。由於手法相似,因此很可能是同一批歹徒所為,這意味著其活動範圍已跨越墨西哥邊境,北移至美國境內。
從提款機的背面進入提款機,置換含有惡意程式的硬碟
目前強迫 ATM 吐鈔的方式有好幾種,但此處的案例必須實際進入提款機內部才能將惡意程式安裝到提款機的電腦上。裝好之後,惡意程式會從提款機的數字鍵盤或外接 USB 鍵盤接收指令,因此歹徒就能下命令給提款機內的吐鈔機,將裡面的錢掏空。
根據 Diebold Nixdorf 在 2017 年 10 月所發出的資安警告,歹徒是從提款機的背面進入提款機。他們將提款機的硬碟換成含有惡意程式的硬碟,然後再利用工業用內視鏡來按壓提款機內部的 Reset (重置) 按鈕重新開機。歹徒使用了幾種 ATM 吐鈔惡意程式,包括:ATMii、ATMitch、GreenDispenser、Alice、Ripper、Skimer 以及 SUCEFUL。
ATM 內安裝手機,用來經由簡訊接收提款指令
最近一次 ATM 吐鈔事件使用的是 Ploutus 惡意程式 (趨勢科技命名為 TSPY_PLOUTUS.A)。根據趨勢科技與歐洲刑警組織 (Europol) 的歐洲網路犯罪中心 (European Cybercrime Center,簡稱 EC3) 所做的研究:「利用 ATM 惡意程式大發利市」,Ploutus 最早可追溯至 2013 年 9 月,當時是在墨西哥境內的 ATM 吐鈔攻擊事件當中發現。隨後沒多久又出現了一個重新設計的變種,叫「Ploutus.B」,增加了不少功能。而一些較新的案例當中,歹徒甚至在 ATM 內安裝了一台手機。這台手機用來經由簡訊接收提款指令,再將指令傳送給 Ploutus.B 惡意程式,這樣可以減少車手到提款機領錢時的步驟。2015 年 10 月又出現了一個名為「Ploutus.C」的變種,此版本採用了一種跨廠牌的 ATM 管理軟體架構。2017 年 1 月,TSPY_PLOUTUS.A 現身,增加了從遠端遙控 ATM 提款機的模組。
根據預測,全球 ATM 提款機數量到了 2021 年 將達到 400 萬台。ATM 產業協會 (ATM Industry Association,簡稱 ATMIA) 表示,美國大約有 47.5 至 50 萬台 ATM 提款機正在營運當中。未來更將出現使用手機 NFC (近場通訊)、藍牙、iBeacon 等技術的無卡提款。不過這些方便的技術也將帶來全新的風險,使得 ATM 提款機的實體與網路安全更顯得重要。
不論是經由實體或網路方式安裝的 ATM 提款機惡意程式目前都在逐漸崛起。趨勢科技研究指出,新的 ATM 惡意程式皆採用一種名為「金融服務延伸功能」(XFS) 的中介軟體。此中介軟體根據 XFS 標準為 Microsoft Windows 作業系統上的金融應用程式提供了一套主從式架構。金融應用程式透過 XFS API 與 XFS 管理程式溝通來操控提款機的周邊裝置,如:數字鍵盤、吐鈔機、收據列印機等等。只要透過這套中介軟體,就可以和不同廠牌或型號的提款機溝通。XFS 規格的通用性讓開發 ATM 吐鈔惡意程式的駭客只需撰寫一套程式就能應用在各廠牌的提款機,因此投資效益驚人。
金融業資安系統管理員須謹記七要點:
為了防範 ATM 提款機所可能帶來的風險 (不論對銀行或消費者),金融業資安系統管理員須謹記下列七要點:
- 讓作業系統、軟體及資安設定隨時保持更新。
- 定期修補企業網路基礎架構與 ATM 提款機漏洞。
- 由於金融業大多數系統都是「固定功能裝置」,因此可建置白名單技術來保護運算環境。
- 導入入侵防護與入侵偵測機制來發掘系統上的惡意行為,確保 ATM 提款機營運安全。
- 確實即時監控相關硬體與軟體事件。
- 部署並主動採用惡意程式防護解決方案來保護維修工程師的筆記型電腦和 USB 裝置。
- 訓練維修工程師在使用 USB 隨身碟時要特別小心謹慎。
原文出處:Diebold Nixdorf, NCR Corp. Send Out Warnings of ATM Jackpotting Attacks to US Banks