從古至今,只要錢財聚集之處,就容易成為犯罪溫床。到銀行搶錢,必須突破層層保全與警衛,得手機率低且風險大,相形之下,隻身佇立在各角落的ATM,看在犯罪者眼中,確實是更易下手的標的,加上攻擊手法會流傳於暗網市集,學習精進空間大,導致ATM攻擊事件日趨頻繁。
趨勢科技資深威脅研究專家Fyodor Yarochkin,日前透過一場「The Age of Broken ATMs那些年,他們搶的ATM」演講指出,回溯 ATM攻擊史,最令人印象深刻的一次演繹,為 2010年黑帽大會上由已故白帽駭客 Barnaby Jack 展示如何駭進 ATM令其吐鈔。
Fyodor說,ATM攻擊者的明確目標就是拿錢,無論透過實體攻擊、盜拷卡片資料、Jackpotting(利用惡意程式控制吐鈔),或TRF(Transaction Reverse Fraud),全都圍繞在此目的;其中在去年(2016)震驚全臺的第一銀行ATM盜領事件,即屬於Jackpotting。
3D 列印技術盛行,但ATM惡意程式更令人擔憂
實體攻擊的常見型態,乃是借助炸藥、鑽探等工具,將ATM整臺搬走,是最耗時費力、也最易敗露行跡的攻擊手法,因此逐漸式微。至於發生頻繁曾經頗高的Skimmer或Shimmers,前者意指傳統磁條卡側錄器,後者則為晶片卡側錄器,它們的目的不在讓ATM吐鈔,亦非獲取鈔票箱裡的錢,而是記錄使用者的卡片資訊;Fyodor認為,隨著3D列印技術的發達,唯恐降低Skimmer或Shimmers製作門檻,使得原本不具足夠Know-how的宵小之徒,皆可能從事非法側錄動作,可謂一大隱憂。
但更值得人們嚴陣以待的攻擊手段,則為ATM惡意程式;只因此類犯罪的複雜性不斷攀升,攻擊範圍與規模日益擴大,對於銀行而言,堪稱是殺傷力最強的威脅之一。
回顧ATM惡意程式演進歷程,2009年資安研究人員發現在俄羅斯、烏克蘭有一隻Skimer軟體,不僅能在ATM竊取用戶的錢,也能將ATM變為側錄機,算是史上第一隻ATM惡意程式。
爾後從2014年開始,ATM惡意程式推陳出新的速度不斷提升,其間不管是2014、2016年期間偷遍歐洲與東南亞的Padpin(含變種),及同樣發生在2016年的ATMitch、Alice,及臺灣的ATM盜領事件,都相當駭人聽聞。
Fyodor回憶2016年ATM盜領案爆發當時,許多銀行如驚弓之鳥,紛紛把特定廠牌ATM換置下架,他認為並非有效做法,因這起攻擊事件的癥結,並不是出在ATM訊號問題,而在於背後操刀的駭客已鎖定攻擊對象,接著分析該對象的ATM設備漏洞;換言之只要目標對象持續被鎖定,即便將ATM悉數換過,仍有很大機會遇駭。
疑似與一銀案相同班底的犯罪者,可能的作案地點至少包括了吉爾吉斯、塔吉克等國家,遭駭客攻破的ATM廠牌機型,與一銀案件皆不相同。
ATM惡意程式觸角,可能延伸至其他設備
Fyodor接著說,2017年ATM惡意程式持續演進,例如發生在墨西哥與秘魯、號稱不需銀行卡即可清空ATM鈔票的Ploutus.D,有趣之處在於該程式必須靠授權金鑰啟動,時間僅24小時,堪稱是暗黑市集中新穎的商業模式。至於發生在印度的Rufus,是一款USB開機隨身碟軟體,只要駭客設法插入ATM的USB埠,就能讓機器輕鬆吐錢。
今年10月,暗黑市集中有人叫賣ATM惡意軟體工具箱,背後發起人為「Cutlet Maker」,針對ATM惡意軟體提供詳細使用手冊,強調只要利用供應商的API,無需費心取得ATM用戶資訊,即可成功從ATM盜取金錢。
總括而論,Fyodor認為展望未來,ATM攻擊行為不會消失,且將出現更大規模演化,舉凡自助付款機(UPT)、收銀機(POS)或自動售票機,都可能遭到駭客染指,值得留意。
由於人們對於ATM攻擊議題的關注度持續增高,趨勢科技特別透過粉絲頁接受相關提問,因反應熱烈,最終Fyodor偕同趨勢科技資深研究員Philippe Lin精選5個常見問題,並由Philippe進行回答。
針對備受關切議題,趨勢科技進行解惑
問題之一為「網路 ATM 與實體 ATM 的安全性是否有差異?」,Philippe答覆兩者運作方式歧異,網路ATM理論上需要你在電腦執行另一擴充套件,駭客埋伏在水坑(Waterhole)盯哨,Fingerprint你是否為某特定銀行的用戶,再進行攻擊。問題之二為「實體隔離是否可解決一銀案問題?」,Philippe認為此次一銀案的所有攻擊皆透過網際網路進行,故實體隔離可有效增加攻擊難度,但相信駭客仍會嚐試找尋別的出路。 繼續閱讀
每年在這時候,公司的最高管理階層都有許多該優先處理的事情:搞定明年的預算計畫以及確保企業朝向目標前進是最優先的兩項。而另一件在進入2018年時所必須考慮的重點是建造他們的IT資安團隊。
