相信大家對先前鎖定特定型號 ATM,遠端駭入讓 ATM 自動吐鈔的事情印象深刻吧。儘管駭客集團派來台灣取鈔的車手落網,Group-IB 的報告指出背後的俄國駭客集團肆虐各地,包括俄國在內的歐洲各國,還有泰國。
駭入 ATM 取鈔已經有 5 年的時間,但到最近才躍上新聞版面,原因是駭客必須要能夠實際碰到 ATM,因此每次能搞到的機器數量往往很少。但技術演進,已經可以靠遠端的指揮中心,一次動到好幾台 ATM 機器,趁銀行還沒發現異狀前,搶到大量紙鈔後溜走。
至於駭客怎麼侵入銀行網路呢?駭客會假裝是歐洲中央銀行、ATM 廠商,寄釣魚信侵入銀行網路。儘管看郵件帳號應該是這些廠商、監管單位寄來的,實際上是偽造的寄件伺服器,追蹤實際的 IP 是在俄國境內。其中有一封 7 月寄的信裡頭,夾帶匿名的郵件腳本 “yaPosylalka v.2.0” (另一個名稱是 “alexusMailer v2.0”)。信件夾帶 Banks.doc 或是 Bitcoin ATM’s doc 檔案,但都藏有惡意程式碼,一不小心打開了就會感染。
▲ Group IB 取得的釣魚信範例。
Group IB 表示,從前駭客是針對個人攻擊,像是盜取信用卡資訊後盜刷,或是駿入取得個人的線上帳號存取權。如今轉向更大的目標,那就是銀行的網路,所以不只有 ATM 機器,還有整個電子支付系統也潛藏危機。2 月時孟加拉中央銀行的 SWIFT 訊息遭破解,造成超過 8,100 萬美元被竊,創上史上金額最大的數位搶劫案之一。
Group IB 認為這些案件背後為單一集團,代號 Cobalt 所為,而從使用的手法和工具來看,可能跟俄國的駭客集團 Buhtrap 有關。不過 Buhtrap 用詐騙電匯方式偷錢,而不是透過駭入 ATM。
世界最大的兩家 ATM 製造商 Diebold Nixdorf 和 NCR 公司都很清楚被鎖定,已經協助顧客對付威脅。
「駭客集團已經將先前的技倆升機,現在已經可以一次攻擊大量的機器了,」Diebold Nixdorf 核心軟體和 ATM 安全資深總監說。「他們知道他們很快就被抓了,因此他們找到能一次讓很多台 ATM 同時吐鈔的方式,並且盡可能在被發現前取鈔。」
「我們跟顧客密切合作,包括那些已經被侵入,以及要開發防範措施和策略,減低攻擊造成影響的顧客,」NCR 公司全球企業詐馬和資安行銷總監 Owen Wild 說。看來銀行、ATM 機公司都很努力要防範下一次的侵入事件,希望別又有相關事件發生了。
(首圖來源:Public Domain Pictures)
