Trend Micro與歐洲刑警組織聯手分析歹徒如何盜領ATM,舊版Windows是禍首之一

Trend Micro與歐洲刑警組織聯手分析歹徒如何盜領ATM,舊版Windows是禍首之一

ADVERTISEMENT

Trend Micro是以推出PC-cillin防毒軟體而聞名的資安廠商,旗下前瞻威脅研究團隊與歐洲刑警組織歐洲網路犯罪中心共同發表了一份名為《利用 ATM 惡意程式大發利市 完整剖析各種攻擊型態》的研究報告,詳細分析了多種不同盜領ATM的攻擊手法,其中也提到了2016年在台灣造成轟動的第一商業銀行盜領案。

傳統手法以現場植入惡意程式為主

該報名中提到,透過惡意程式攻擊ATM的歷史可追溯至2009年,由於者種手法能夠快速取得金錢,因此成為許多網路犯罪集團的作案手法之一,早期攻擊者還需要親自在ATM前是植入惡意程式,到後來也逐漸發展成透過網路從遠端發動攻擊的方式進行。

由於現今的ATM不像過去採用特殊規格電腦組成,而因成本考量、軟體支援度、互通性等因素,逐漸改採一般架構的電腦,並搭配Windows作業系統,讓攻擊者有機可乘。

更糟的是,目前仍有許多ATM還是搭載Windows XP、Windows XP Embedded甚至更舊的作業系統,而Microsoft在2014年就停止對Windows XP的更新支援,Windows XP Embedded的延長支援也在2016年停止,讓這些ATM早已無法接收安全更新,而曝露於資安風險之下。

由於ATM的機身大多具有防盜裝置,一般人不容易接觸到內部電腦,需要設法打開機殼才能對電腦動手腳,雖然過去曾發生透過金融卡磁條感染ATM的案例,但那畢竟是特殊個案。

但是當攻擊者打開ATM機殼後,就能將外接裝置接上電腦,如此一來就能透過USB隨身諜或CD、DVD光碟植入惡意程式。

Trend Micro與歐洲刑警組織聯手分析歹徒如何盜領ATM,舊版Windows是禍首之一

還可從網路遙控作案

一般來說ATM不會直接使用網際網路連線,而是透過VPN(Virtual Private Network,虛擬私人網路),搭配SNA over SDLC、TC500 over Async、X.25、TCP/ IP over Ethernet 1等低階網路通訊協定連回銀行,除了交易訊息會以AES或3DES加密保護之外,跨行網路間的通訊也可能以SSL加密。

不過如果攻擊者能透過釣魚郵件或其它方式侵入銀行內部網路,就可以在內部找尋ATM所在的子網路,進而從遠端植入惡意程式,第一商業銀行盜領案就屬於這種類型。

由於目前搭載Windows作業系統的ATM,通常都會採用XFS(eXtensions for Financial Services,金融服務延伸功能)中介軟體,它負責ATM硬體與金融服務軟體的溝通,並可控制ATM的數字鍵盤、吐鈔機、收據列印機等周邊裝置。所以無論攻擊者用什麼方式植入惡意程式,一旦取得XFS的控制權之後,就可以命令ATM吐鈔,達到盜領現金的目的。

該報告也在最後提出建議,單純將ATM的網路隔離已經不足以阻止盜領,金融機構應採取更多安全措施保障ATM的安全,執法機關也應多加防範這種作案方式,才能避免盜領事件再次發生。

Trend Micro與歐洲刑警組織聯手分析歹徒如何盜領ATM,舊版Windows是禍首之一

延續閱讀:
利用 ATM 惡意程式大發利市 完整剖析各種攻擊型態》完整報告書(PDF)

國寶大師 李文恩
作者

電腦王特約作者,專門負責硬派內容,從處理器、主機板到開發板、零組件,尖端科技都一手包辦,最近的研究計畫則包括Windows 98復活與AI圖像生成。

使用 Facebook 留言
發表回應
謹慎發言,尊重彼此。按此展開留言規則