ATM安全最新的三大威脅
自動(dòng)柜員機(jī)(ATM)就是靜立的錢箱,而且身在銀行保險(xiǎn)庫重重防衛(wèi)之外,傳統(tǒng)大盜和新興黑客都認(rèn)為這是個(gè)完美的攻擊目標(biāo)。尤其是在發(fā)展中國家,ATM往往缺乏基本的網(wǎng)絡(luò)安全預(yù)防措施,運(yùn)行著老舊過時(shí)的操作系統(tǒng),身份驗(yàn)證要求也很簡單。過去幾年里罪犯在從ATM撈錢上可謂奇招迭出精彩紛呈,而且大多還很成功。
ATM的主要的攻擊方法包括:
- 插入信息刮取器:放入刷卡槽的物理設(shè)備,可以捕獲被刷卡片的信息。
- 遠(yuǎn)程網(wǎng)絡(luò)攻擊:使用ATMitch等惡意軟件控制ATM服務(wù)器提取現(xiàn)金。
- 直接惡意軟件攻擊:親至ATM跟前部署Ploutus-D之類惡意軟件變種。
2018年至少出現(xiàn)了兩類ATM安全新威脅:以其高速、有效和省力而聞名的“中大獎(jiǎng)(Jackpotting)”攻擊;以及輕松盜取芯片磁條復(fù)合卡數(shù)據(jù)的“墊片(Shimming)”攻擊。
Jackpotting
誘騙ATM吐錢的方法多種多樣,但該新變種在2016年左右才在歐洲首次出現(xiàn),到2018年就出現(xiàn)了大約十來起攻擊案例。該方法需在ATM的密碼輸入鍵盤旁邊鉆個(gè)小洞,塞進(jìn)線纜連上筆記本電腦,然后給ATM發(fā)指令吐出鈔票。卡巴斯基實(shí)驗(yàn)室的研究人員用價(jià)值15美金的設(shè)備就重現(xiàn)了該攻擊,連筆記本電腦都不用,一臺簡單的微電腦就行。
該攻擊得以成功執(zhí)行是因?yàn)楹芏郃TM的加密和身份驗(yàn)證要求都極其有限,攻擊者一旦能訪問這些特定部件就能獲取機(jī)器的完整控制權(quán)。此技術(shù)的危害在于,操控吐錢僅需幾秒,清空一臺ATM也只是幾分鐘的事。Jackpotting在發(fā)達(dá)國家很難實(shí)施,因?yàn)檫@些地方的警力響應(yīng)更快,但該技術(shù)的速度優(yōu)勢令其無論在哪個(gè)國家都相當(dāng)有利可圖。幸運(yùn)的是,此類攻擊不影響消費(fèi)者,只是金融機(jī)構(gòu)會大感頭痛。
Shimming:信息刮取
如前所述,信息刮取(Skimming)是往ATM讀卡器里插入一個(gè)裝置來盜取被刷卡片數(shù)據(jù)。墊片(Shimming)則是該攻擊的升級版,往ATM或銷售終端的讀卡器中塞入紙片般薄的插入物就能偷到芯片磁條復(fù)合卡的數(shù)據(jù)。
因?yàn)樗婕夹g(shù),此類攻擊的成本比Jackpotting要高,但由于實(shí)施簡單,此類攻擊尤其危險(xiǎn)。數(shù)據(jù)小偷們所要做的僅僅是在機(jī)器前逗留幾秒鐘,而且一旦部署就很難被發(fā)現(xiàn)。最多就是插卡時(shí)感覺更緊更難塞入了才有可能查看設(shè)備,發(fā)現(xiàn)該多余的“墊片”。
一旦卡片信息被盜,攻擊者便可復(fù)制一張新卡。但目前來講,復(fù)制出來的復(fù)合卡尚不能用于插入式或接觸式付款,也就是純芯片支付功能不可用。因此,純芯片卡仍是消費(fèi)者更加安全的選擇。
商家該如何保護(hù)ATM?
ATM安全現(xiàn)狀遠(yuǎn)稱不上最佳,但ATM特殊的安全挑戰(zhàn)又讓做出改善十分困難。盡管如此,仍有長期或短期內(nèi)讓這些攻擊更難以實(shí)施的機(jī)會。
物理安全做好就能防住大部分ATM攻擊,因?yàn)榧幢闶菒阂廛浖凸粢彩鞘加趯TM的物理接觸的。不過,事情總是說起來容易做起來難,尤其是在發(fā)展中國家和鄉(xiāng)村。理論上ATM可以設(shè)計(jì)成一旦有人篡改就完全關(guān)閉,但制造商是不太可能這么做的,因?yàn)檫@樣太容易觸發(fā)誤報(bào)而讓機(jī)器不可用了。
想獲得更好的數(shù)字安全,ATM制造商應(yīng)在機(jī)器的軟件中更多地運(yùn)用加密技術(shù),要求更多身份驗(yàn)證措施,禁用閑置端口,并創(chuàng)建授權(quán)進(jìn)程白名單,一旦出現(xiàn)未授權(quán)進(jìn)程就自動(dòng)觸發(fā)警報(bào)。
業(yè)界已經(jīng)出現(xiàn)了一些從長期看能讓ATM更加安全的技術(shù)發(fā)展。很多ATM公司正完全摒棄 Windows XP,2019年1月便是完全遷移到 Windows 7 或 10 的截止期。同時(shí),125家ATM公司組成的聯(lián)盟正在開發(fā)自己的ATM軟件標(biāo)準(zhǔn),旨在徹底脫離Windows。然而,這需要時(shí)間,所以升級操作系統(tǒng)是重要的過渡步驟。
還有些潛在安全升級需要犧牲一定的便利性,所以可能不會馬上實(shí)現(xiàn)。比如說,一定數(shù)額以上的取現(xiàn)或交易如果要求雙因子身份驗(yàn)證就能很大程度上削減復(fù)制卡的價(jià)值,但消費(fèi)者愿意忍受這種不便嗎?
消費(fèi)者該如何保護(hù)自身?
為避免各類支付卡信息被盜,請盡量使用接觸式支付或移動(dòng)支付,比如 Apple Pay、微信支付等。這些支付方式不容易造成支付卡被復(fù)制,因而更加安全。使用ATM時(shí)盡量找銀行內(nèi)部的機(jī)器,或者在照明充分、熙熙攘攘,竊賊沒辦法不受干擾地動(dòng)手腳的地方。如果不得不使用你覺得可能被篡改的ATM,先檢查有沒有什么異常,比如機(jī)器表面的刮痕、密碼輸入鍵盤周圍的小變動(dòng)。為防止墊片攻擊,插入卡片時(shí)感覺一下有沒有異常的阻礙感。最后,經(jīng)常查看交易記錄,及時(shí)發(fā)現(xiàn)非授權(quán)支付。
【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章,轉(zhuǎn)載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權(quán)】
