別說我沒提醒各位啊!就在這個月月初，美國聯邦調查局當時還專門給全球各大銀行發布了一條警告，大致內容是“網絡犯罪分子正在計劃對全球范圍內的ATM機進行一次大規模網絡攻擊”。就在三天之后，印度銀行的ATM服務器上就出現了惡意軟件，在此次攻擊中，攻擊者成功從該銀行遍布全球的ATM機中非法提現了數百萬美元。這件事情絕對需要引起各行各業的注意，因為當這樣的事情即將發生在自己身上時，其實我們是沒有多少時間去做準備的。這就好比你收到警報稱“龍卷風還有30分鐘“抵達戰場”，這個時候你再去存儲糧食和水，然后加固房屋的話，一切都太晚了。

這也是我寫這篇文章的原因，因為在攻擊真正發生之前，我們需要有一套完整的機制來處理網絡攻擊或數字欺詐。雖然我們無法完全阻止網絡犯罪事件的發生，但是我們可以增加自己在網絡安全事件中的“存活幾率”，并降低事件所帶來的影響。我們無法預知接下來將要發生的網絡攻擊類型(雖然針對印度銀行ATM機的攻擊早在2013年-2017年就已經發生過了，即臭名昭著的Carbanak和Cobalt惡意軟件攻擊)，但無論網絡攻擊如何進化和發展，我們總有辦法去降低這些攻擊所帶來的影響。

下面是我們提供給廣大金融機構和客戶的十種防范措施(建議)

[[242863]]

一、從多個角度評價當前的防攻擊/欺詐策略

從目前的網絡技術發展狀況來看，有效的防攻擊/欺詐策略必須要擴展至組織的所有線上及線下渠道，對于金融機構來說，還包括無卡支付、電話幫助中心、ATM、移動端環境和云環境。之所以要覆蓋所有渠道，是因為如果組織的整個運營機制的某個環節出現了問題，那么攻擊者就能夠利用其中一個渠道來攻擊整個系統中的其他部分，并導致更嚴重的事情發生。這也就是我們為什么需要部署一個能夠覆蓋組織全渠道的防攻擊/欺詐策略了，這一點非常關鍵，任何一個環節的疏漏都將導致你“全盤皆輸”。

二、監控!監控!監控!

重要的事情說三遍，在之前的ATM攻擊事件中，美國聯邦調查局一直強調銀行需要對ATM的所有相關活動進行監控，但我們認為組織需要把監控對象的范圍擴大化，即監控組織內所有的數字渠道，拿ATM機攻擊事件來舉個例子，各大金融機構和組織應該持續監控的東西有：

• 遠程網絡協議以及管理員工具的使用情況，因為在網絡犯罪活動中，攻擊者往往需要使用這些工具來入侵/訪問組織的網絡系統。
• 通過非標準端口傳輸的加密網絡通信數據。
• 原本不應該向外傳輸的網絡通信數據。

三、在第一時間收到事件通知

確保組織的安全管理人員能夠在第一時間收到：

• 潛在的欺詐行為指標，例如不正常的取款交易等等，這個可以通過ATM系統中的網絡請求處理頻率的變化來判斷。
• 金融機構的ATM對其他發卡行的取款限制是否發生變化。
• 網絡通信數據中的威脅指標，包括已知的安全威脅情報。

四、禁用ATM的PIN碼修改功能

建議各大金融機構禁用ATM的PIN碼修改功能，監控電話服務中心的PIN碼修改請求，以及其他非金融事件的修改請求，例如客戶手機號碼和家庭住址等信息的修改。

五、更新ATM的操作系統

從技術角度出發，在2020年Windows 7徹底“掛掉”之前，銀行是不需要將ATM機的操作系統更新至Windows 10的。但是等到“最后一刻”才更新系統的這種行為會放大整個系統所面臨的安全風險，因為此時的系統中可能存在著各種各樣已過期的軟件，而這些軟件會給攻擊者提供可乘之機。由于缺乏定期的安全更新補丁，以及運行大量不受服務支持的軟件，ATM機將無法有效抵御新型惡意軟件的攻擊。

六、針對芯片卡交易部署EMV終端

在ATM取款欺詐活動中，攻擊者首先需要盜竊目標用戶的支付卡數據，然后將數據復制到其他的芯片卡上，并用偽造的支付卡進行違規取款，但是克隆一張芯片卡，還是比較困難的。ATM行業協會將EMV技術稱為了行業內針對偽造卡片的主要保護手段。

[[242864]]

從客戶的角度出發，金融機構應該鼓勵廣大用戶去做以下幾件事：

七、申請交易提醒

當客戶的支付卡進行了交易之后，用戶應該立即收到交易提醒。

八、定期查看卡片的日提款限額

定期查看卡片的日提款限額，以便在第一時間發現異常。

九、檢查在線賬號

定期檢查在線賬號的交易情況，及時上報可疑的交易活動。

十、定期修改密碼

定期修改支付卡和在線賬號的密碼，將卡片遺失的損失降到最低。

后話

請大家記住，金融欺詐這個生態系統的規模每天都在壯大，復雜性也在不斷增加。無論下一輪大規模的網絡攻擊活動何時到來，我們都應該隨時準備著，而這種努力不僅是機構和組織需要付出的，廣大用戶同樣需要付出。