趋势科技(Trand Micro)旗下前瞻威胁研究团队与欧洲刑警组织欧洲网络犯罪中心共同发布了一份名为《利用 ATM 恶意程序大发利市 完整剖析各种攻击型态》的研究报告,详细分析了多种不同盗领 ATM 的攻击手法,其中也提到了 2016 年在中国台湾地区造成轰动的第一商业银行盗领案。

传统手法以现场植入恶意程序为主

该报名中提到,透过恶意程序攻击 ATM 的历史可追溯至 2009 年,由于这种手法能够快速取得金钱,因此成为许多网络犯罪集团的作案手法之一,早期攻击者还需要亲自在 ATM 前是植入恶意程序,到后来也逐渐发展成透过网络从远端发动攻击的方式进行。

由于现今的 ATM 不像过去采用特殊规格电脑组成,而因成本考量、软件支持度、互通性等因素,逐渐改采一般架构的电脑,并搭配 Windows 操作系统,让攻击者有机可乘。

更糟的是,目前仍有许多 ATM 还是搭载 Windows XP、Windows XP Embedded 甚至更旧的操作系统,而 Microsoft 在 2014 年就停止对 Windows XP 的更新支持,Windows XP Embedded 的延长支持也在 2016 年停止,让这些 ATM 早已无法接收安全更新,而曝露于信息安全风险之下。

由于 ATM 的机身大多具有防盗设备,一般人不容易接触到内部电脑,需要设法打开机壳才能对电脑动手脚,虽然过去曾发生透过金融卡磁条感染 ATM 的案例,但那毕竟是特殊个案。

但是当攻击者打开 ATM 机壳后,就能将外接设备接上电脑,如此一来就能透过 USB 随身谍或 CD、DVD 光盘植入恶意程序。

在传统攻击手法中,攻击者往往需要打开 ATM 机壳才能植入恶意程序。

还可从网络遥控作案

一般来说 ATM 不会直接使用网际网络连线,而是透过 VPN(Virtual Private Network,虚拟私人网络),搭配 SNA over SDLC、TC500 over Async、X.25、TCP/ IP over Ethernet 1 等低端网络通讯协议连回银行,除了交易讯息会以 AES 或 3DES 加密保护之外,跨行网络间的通讯也可能以 SSL 加密。

不过如果攻击者能透过钓鱼邮件或其他方式侵入银行内部网络,就可以在内部找寻 ATM 所在的子网络,进而从远端植入恶意程序,中国台湾地区第一商业银行盗领案就属于这种类型。

由于目前搭载 Windows 操作系统的 ATM,通常都会采用XFS(eXtensions for Financial Services,金融服务延伸功能)中介软件,它负责 ATM 硬件与金融服务软件的沟通,并可控制 ATM 的数字键盘、吐钞机、收据打印机等周边设备。所以无论攻击者用什么方式植入恶意程序,一旦取得 XFS 的控制权之后,就可以命令 ATM 吐钞,达到盗领现金的目的。

该报告也在最后提出建议,单纯将 ATM 的网络隔离已经不足以阻止盗领,金融机构应采取更多安全措施保障 ATM 的安全,执法机关也应多加防范这种作案方式,才能避免盗领事件再次发生。 20171108-ATM-hacker-1 ▲ 犯罪集团就是靠着盗领ATM中的现金谋取不法利益。

• 《利用 ATM 恶意程序大发利市 完整剖析各种攻击型态》完整报告书(PDF)

EETC wechat barcode


关注最前沿的电子设计资讯,请关注“电子工程专辑微信公众号”。