ATM攻击来钱快?当心牢底坐穿!

ATM攻击来钱快?当心牢底坐穿!

如今,无论在哪里都能看见ATM机的身影,已经成为我们生活中不可缺少的一种设备,它的存在方便了我们的出行,可以不用随身携带大量的现金。计算机ATM机是由计算机控制操作的,那也就意味着它可能会出现故障。这年头,钱存在银行也不一定就安全……

根据网络安全公司Positive Technologies的报告,2018年1月美国特勤局以及主要的ATM供应商Diebold Nixdorf和NCR公司联合发出了关于ATM攻击威胁的紧急警告。这些警告之所以引人注目,是因为威胁的性质:据说犯罪分子计划在ATM上植入恶意软件或连接特殊设备以控制其现金分发。

2017年10月,墨西哥发生了一系列此类ATM攻击事件。攻击者事先特别准备了一个装有恶意软件的硬盘驱动器,并将其与ATM的原始硬盘驱动器进行转换。为了恢复与ATM中提款设备的连接,攻击者模拟了物理身份验证,这是为了确认已获得对ATM内部安全的授权访问权限。2018年1月,这些攻击也蔓延到了美国。

关于ATM恶意软件最重要的不是它的内部运行方式,而是安装方法。保护银行及其客户的第一步是识别潜在的感染媒介,以及确定ATM上易受攻击的部件,从而针对性的设计保护措施。

一.ATM工作原理

在研究攻击情形之前,让我们首先更好地了解ATM是如何运作的以及攻击者可能感兴趣的ATM组件有哪些。

ATM由两个主要部分组成:机柜(cabinet)和保险柜(safe)。机柜(主体)包含ATM计算机,它连接到所有其他设备:网络设备、读卡器、键盘、提款机连接器。机柜几乎没有受到保护,除了一扇带锁的塑料门。更令人震惊的是,制造商通常对同一系列的所有ATM机使用相同的锁。这些锁的钥匙甚至可以在线购买,当然对于专业的小偷,一根铁丝就能搞定,真的如电视剧情节一样。相比机柜,保险柜就更坚固了,外围由钢和混凝土保护,内部仅包含提款机和现金验收模块。

ATM计算机通常在Windows上运行,采用专门为ATM使用而设计的特殊嵌入式版本。只有管理员才能访问Windows,其他用户无权访问。为了完成其工作,ATM应用程序必须与外围设备通信(peripherals):从读卡器获取银行卡信息,从键盘获取用户输入信息,并将命令发送到自动提款机。

ATM从不自己决定现金的分发,在处理交易时,它会联系银行处理中心。此连接以有线或无线(例如,通过移动数据网络)方式进行,因此确保连接不被数据拦截很重要。与处理中心的数据交换最常通过NDC或DDC协议进行,尽管银行有时会使用自己的方法。除处理中心外,ATM还连接到银行的内部网络(用于远程管理)和软件更新服务器。

ATM攻击来钱快?当心牢底坐穿!

ATM组件之间的交互

ATM攻击来钱快?当心牢底坐穿!

ATM的可能攻击方式

在安全分析中遇到的ATM漏洞分为四类:

网络安全性不足;

外围设备安全性不足;

系统或设备配置不当;

应用程序控制的漏洞或配置不当。

二.ATM攻击场景

根据这些不同类型的漏洞,Positive Technologies的专家对NCR、Diebold Nixdorf和GRGBanking的ATM设备进行了测试,并演示了相关攻击场景,以识别银行及其客户面临的潜在风险。根据攻击目标可将攻击场景分为两类:从ATM保险柜盗取现金或从客户的银行卡复制信息。

1.网络攻击

ATM攻击来钱快?当心牢底坐穿!

对于网络攻击,主要要求是访问ATM所连接的网络。如果攻击者是银行或网络提供商的员工,则可以远程获取此访问权限。否则,攻击者需要到现场打开ATM,拔掉以太网线,并将恶意设备连接到调制解调器(或用类似设备替换调制解调器)。然后就可以将设备连接到攻击可用的网络服务,或尝试中间人攻击。有时调制解调器位于ATM机外部,因此攻击者不必打开ATM就可以进行上述步骤。

ATM攻击来钱快?当心牢底坐穿!

ATM网络攻击

如果ATM和处理中心之间的数据不安全,攻击者可以操纵交易确认过程。处理中心仿真器会批准ATM接收的任何请求,并回复请求让攻击者可以取钱。仿真器通过以太网线连接到ATM机或直接替换网络设备。

2.卡数据被盗

ATM攻击来钱快?当心牢底坐穿!

银行卡的磁条包含执行交易所需的信息。尽管磁条最多可以容纳三个磁道,但通常只使用两个磁道(Track1和Track2)。Track1包含卡号、到期日、服务代码和持卡人姓名。它还可能包含PIN验证密钥指示符、PIN验证值和卡验证值。Track2复制Track1上除持卡人姓名以外的所有信息。

在POS终端使用银行卡磁条支付或从ATM机提取现金只需要阅读Track2即可,因此攻击者试图从Track2复制信息,这些信息可用于创建复制卡。目前暗网上存在大量复制卡的买卖,所谓的卡片复制商品占暗网上销售的所有信息量的四分之一,单张复制卡的平均售价为9美元。

多年来,犯罪分子在读卡器上放置物理垫片(skimmers),以便直接从磁条读取信息。数据读取拦截可分为两个阶段:

在ATM和处理中心之间的数据传输期间;

在ATM操作系统和读卡器之间的数据传输期间。

ATM攻击来钱快?当心牢底坐穿!

卡数据被盗攻击

截取ATM和处理中心之间的数据(58%经过测试的ATM设备存在安全风险):这种攻击是可能的,因为Track2的全部信息值是以明文形式发送的,并且在应用程序级别的ATM和处理中心之间的流量上没有加密(几乎所有ATM都使用不使用加密的NDC和DDC协议)。因此,通过连接到ATM网络并监听网络流量,攻击者可以获取有关银行卡的信息。

ATM攻击来钱快?当心牢底坐穿!

拦截明文形式的Track2信息值

ATM攻击来钱快?当心牢底坐穿!

拦截ATM和处理中心之间的数据

拦截ATM操作系统和读卡器之间的数据(100%经过测试的ATM设备存在安全风险):如果攻击者能够在ATM上安装恶意软件,则不需要使用恶意硬件从读卡器读取数据。这可以通过以下方式完成:更改引导模式或从外部磁盘启动,直接连接到硬盘驱动器,连接设备以模拟用户输入或执行网络攻击。

在与读卡器交换数据时,ATM机中普遍缺少执行身份验证机制。因此,任何设备都有权访问。攻击者需要做的就只是在ATM 操作系统中运行恶意代码。

ATM攻击来钱快?当心牢底坐穿!

拦截ATM操作系统和读卡器之间的数据

三.结论

对ATM设备的攻击近年来日益增多,造成的损失已经是无法统计的天文数字了,银行与客户共同成为了受害者。为了降低攻击风险并加快威胁响应,第一步需要采取的措施是物理保护ATM设备,以及在ATM和相关基础设施上实施安全事件的记录和监控。其次,定期对ATM进行安全性分析对于及时发现和修复漏洞也同样非常重要,不要给黑客留有任何可趁之机。

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/sole/view/131704.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code