趨勢科技(Trend Micro)是以推出 PC-cillin 防毒軟體而聞名的資安廠商,旗下前瞻威脅研究團隊與歐洲刑警組織歐洲網路犯罪中心共同發表了一份名為《利用 ATM 惡意程式大發利市 完整剖析各種攻擊型態》的研究報告,詳細分析了多種不同盜領 ATM 的攻擊手法,其中也提到了 2016 年在台灣造成轟動的第一商業銀行盜領案。
傳統手法以現場植入惡意程式為主
該報名中提到,透過惡意程式攻擊 ATM 的歷史可追溯至 2009 年,由於這種手法能夠快速取得金錢,因此成為許多網路犯罪集團的作案手法之一,早期攻擊者還需要親自在 ATM 前是植入惡意程式,到後來也逐漸發展成透過網路從遠端發動攻擊的方式進行。
由於現今的 ATM 不像過去採用特殊規格電腦組成,而因成本考量、軟體支援度、互通性等因素,逐漸改採一般架構的電腦,並搭配 Windows 作業系統,讓攻擊者有機可乘。
更糟的是,目前仍有許多 ATM 還是搭載 Windows XP、Windows XP Embedded 甚至更舊的作業系統,而 Microsoft 在 2014 年就停止對 Windows XP 的更新支援,Windows XP Embedded 的延長支援也在 2016 年停止,讓這些 ATM 早已無法接收安全更新,而曝露於資安風險之下。
由於 ATM 的機身大多具有防盜裝置,一般人不容易接觸到內部電腦,需要設法打開機殼才能對電腦動手腳,雖然過去曾發生透過金融卡磁條感染 ATM 的案例,但那畢竟是特殊個案。
但是當攻擊者打開 ATM 機殼後,就能將外接裝置接上電腦,如此一來就能透過 USB 隨身諜或 CD、DVD 光碟植入惡意程式。
還可從網路遙控作案
一般來說 ATM 不會直接使用網際網路連線,而是透過 VPN(Virtual Private Network,虛擬私人網路),搭配 SNA over SDLC、TC500 over Async、X.25、TCP/ IP over Ethernet 1 等低階網路通訊協定連回銀行,除了交易訊息會以 AES 或 3DES 加密保護之外,跨行網路間的通訊也可能以 SSL 加密。
不過如果攻擊者能透過釣魚郵件或其他方式侵入銀行內部網路,就可以在內部找尋 ATM 所在的子網路,進而從遠端植入惡意程式,第一商業銀行盜領案就屬於這種類型。
由於目前搭載 Windows 作業系統的 ATM,通常都會採用XFS(eXtensions for Financial Services,金融服務延伸功能)中介軟體,它負責 ATM 硬體與金融服務軟體的溝通,並可控制 ATM 的數字鍵盤、吐鈔機、收據列印機等周邊裝置。所以無論攻擊者用什麼方式植入惡意程式,一旦取得 XFS 的控制權之後,就可以命令 ATM 吐鈔,達到盜領現金的目的。
該報告也在最後提出建議,單純將 ATM 的網路隔離已經不足以阻止盜領,金融機構應採取更多安全措施保障 ATM 的安全,執法機關也應多加防範這種作案方式,才能避免盜領事件再次發生。
- 《利用 ATM 惡意程式大發利市 完整剖析各種攻擊型態》完整報告書(PDF)
(本文由 T客邦 授權轉載;首圖來源:shutterstock)
科技新報粉絲團
加入好友
訂閱免費電子報
