全球兩大 ATM 提款機製造商 Diebold Nixdorf 和 NCR Corp. 日前發出警告:美國境內已首次出現 ATM 吐鈔攻擊(Jackpotting)案例。稍早之前,美國特勤局(U.S. Secret Service)才發出相關警告表示,網路犯罪集團目前已有多種技巧可以強迫 ATM 提款機吐鈔。這種犯罪手法在犯罪地下網路稱為「ATM Jackpotting」(ATM 開頭獎),頗有將提款機當成賭場拉霸的意味。 這類強迫 ATM 吐鈔的攻擊最早出現在俄羅斯,隨後傳到歐洲、亞洲、拉丁美洲和墨西哥。資安專業記者
Brian Krebs 在 1 月 27 日接獲 Diebold Nixdorf 公司的
資安警告,指出美國境內發生的 ATM 吐鈔攻擊與 2017 年 10 月發生在墨西哥境內的攻擊類似。由於手法相似,因此很可能是同一批歹徒所為,這意味著其活動範圍已跨越墨西哥邊境,北移至美國境內。
從提款機的背面進入提款機,置換含有惡意程式的硬碟目前強迫 ATM 吐鈔的方式有好幾種,但此處的案例必須實際進入提款機內部才能將惡意程式安裝到提款機的電腦上。裝好之後,惡意程式會從提款機的數字鍵盤或外接 USB 鍵盤接收指令,因此歹徒就能下命令給提款機內的吐鈔機,將裡面的錢掏空。
根據 Diebold Nixdorf 在 2017 年 10 月所發出的
資安警告,歹徒是從提款機的背面進入提款機。他們將提款機的硬碟換成含有惡意程式的硬碟,然後再利用工業用內視鏡來按壓提款機內部的 Reset(重置)按鈕重新開機。歹徒使用了幾種 ATM 吐鈔惡意程式,包括:ATMii、ATMitch、GreenDispenser、Alice、Ripper、Skimer 以及 SUCEFUL。
ATM 內安裝手機,用來經由簡訊接收提款指令最近一次 ATM 吐鈔事件使用的是 Ploutus 惡意程式(趨勢科技命名為
TSPY_PLOUTUS.A)。根據趨勢科技與歐洲刑警組織(Europol)的歐洲網路犯罪中心(European Cybercrime Center,簡稱 EC3)所做研究:「
利用 ATM 惡意程式大發利市」,Ploutus 最早可追溯至 2013 年 9 月,當時是在墨西哥境內的 ATM 吐鈔攻擊事件發現。隨後沒多久又出現了重新設計的變種,名叫「Ploutus.B」,增加了不少功能。而一些較新的案例中,歹徒甚至在 ATM 內安裝一支手機。這支手機用來經由簡訊接收提款指令,再將指令傳送給 Ploutus.B 惡意程式,這樣可以減少車手到提款機領錢時的步驟。2015 年 10 月又出現了一個名為「Ploutus.C」變種,此版本採用一種跨廠牌的 ATM 管理軟體架構。2017 年 1 月 TSPY_PLOUTUS.A 現身,增加了遠端遙控 ATM 提款機的模組。
根據預測,全球 ATM 提款機數量到 2021 年將達
400 萬台。ATM 產業協會(ATM Industry Association,簡稱 ATMIA)表示,美國大約有 47.5 至 50 萬台 ATM 提款機正在營運。未來更將出現使用手機 NFC(近場通訊)、藍牙、iBeacon 等技術的無卡提款。不過這些方便的技術也將帶來全新風險,使 ATM 提款機的實體與網路安全更顯重要。
不論是經由實體或網路方式安裝的 ATM 提款機惡意程式目前都在逐漸崛起。趨勢科技研究指出,新的 ATM 惡意程式皆採用一種名為「金融服務延伸功能」(XFS)的中介軟體。此中介軟體根據 XFS 標準為 Microsoft Windows 作業系統上的金融應用程式提供了一套主從式架構。金融應用程式透過 XFS API 與 XFS 管理程式溝通來操控提款機的周邊裝置,如:數字鍵盤、吐鈔機、收據列印機等等。只要透過這套中介軟體,就可以和不同廠牌或型號的提款機溝通。XFS 規格的通用性讓開發 ATM 吐鈔惡意程式的駭客只需撰寫一套程式就能應用在各廠牌的提款機,因此投資效益驚人。
金融業資安系統管理員須謹記七要點為了防範 ATM 提款機可能帶來的風險(不論對銀行或消費者),金融業資安系統管理員須謹記下列七要點:
- 讓作業系統、軟體及資安設定隨時保持更新。
- 定期修補企業網路基礎架構與 ATM 提款機漏洞。
- 由於金融業大多數系統都是「固定功能裝置」,因此可建置白名單技術來保護運算環境。
- 導入入侵防護與入侵偵測機制來發掘系統上的惡意行為,確保 ATM 提款機營運安全。
- 確實即時監控相關硬體與軟體事件。
- 部署並主動採用惡意程式防護解決方案來保護維修工程師的筆記型電腦和 USB 裝置。
- 訓練維修工程師在使用 USB 隨身碟時要特別小心謹慎。