ATM安全最新的三大威脅
自動柜員機(ATM)就是靜立的錢箱,而且身在銀行保險庫重重防衛之外,傳統大盜和新興黑客都認為這是個完美的攻擊目標。尤其是在發展中國家,ATM往往缺乏基本的網絡安全預防措施,運行著老舊過時的操作系統,身份驗證要求也很簡單。過去幾年里罪犯在從ATM撈錢上可謂奇招迭出精彩紛呈,而且大多還很成功。
ATM的主要的攻擊方法包括:
- 插入信息刮取器:放入刷卡槽的物理設備,可以捕獲被刷卡片的信息。
- 遠程網絡攻擊:使用ATMitch等惡意軟件控制ATM服務器提取現金。
- 直接惡意軟件攻擊:親至ATM跟前部署Ploutus-D之類惡意軟件變種。
2018年至少出現了兩類ATM安全新威脅:以其高速、有效和省力而聞名的“中大獎(Jackpotting)”攻擊;以及輕松盜取芯片磁條復合卡數據的“墊片(Shimming)”攻擊。
Jackpotting
誘騙ATM吐錢的方法多種多樣,但該新變種在2016年左右才在歐洲首次出現,到2018年就出現了大約十來起攻擊案例。該方法需在ATM的密碼輸入鍵盤旁邊鉆個小洞,塞進線纜連上筆記本電腦,然后給ATM發指令吐出鈔票。卡巴斯基實驗室的研究人員用價值15美金的設備就重現了該攻擊,連筆記本電腦都不用,一臺簡單的微電腦就行。
該攻擊得以成功執行是因為很多ATM的加密和身份驗證要求都極其有限,攻擊者一旦能訪問這些特定部件就能獲取機器的完整控制權。此技術的危害在于,操控吐錢僅需幾秒,清空一臺ATM也只是幾分鐘的事。Jackpotting在發達國家很難實施,因為這些地方的警力響應更快,但該技術的速度優勢令其無論在哪個國家都相當有利可圖。幸運的是,此類攻擊不影響消費者,只是金融機構會大感頭痛。
Shimming:信息刮取
如前所述,信息刮取(Skimming)是往ATM讀卡器里插入一個裝置來盜取被刷卡片數據。墊片(Shimming)則是該攻擊的升級版,往ATM或銷售終端的讀卡器中塞入紙片般薄的插入物就能偷到芯片磁條復合卡的數據。
因為所涉技術,此類攻擊的成本比Jackpotting要高,但由于實施簡單,此類攻擊尤其危險。數據小偷們所要做的僅僅是在機器前逗留幾秒鐘,而且一旦部署就很難被發現。最多就是插卡時感覺更緊更難塞入了才有可能查看設備,發現該多余的“墊片”。
一旦卡片信息被盜,攻擊者便可復制一張新卡。但目前來講,復制出來的復合卡尚不能用于插入式或接觸式付款,也就是純芯片支付功能不可用。因此,純芯片卡仍是消費者更加安全的選擇。
商家該如何保護ATM?
ATM安全現狀遠稱不上最佳,但ATM特殊的安全挑戰又讓做出改善十分困難。盡管如此,仍有長期或短期內讓這些攻擊更難以實施的機會。
物理安全做好就能防住大部分ATM攻擊,因為即便是惡意軟件型攻擊也是始于對ATM的物理接觸的。不過,事情總是說起來容易做起來難,尤其是在發展中國家和鄉村。理論上ATM可以設計成一旦有人篡改就完全關閉,但制造商是不太可能這么做的,因為這樣太容易觸發誤報而讓機器不可用了。
想獲得更好的數字安全,ATM制造商應在機器的軟件中更多地運用加密技術,要求更多身份驗證措施,禁用閑置端口,并創建授權進程白名單,一旦出現未授權進程就自動觸發警報。
業界已經出現了一些從長期看能讓ATM更加安全的技術發展。很多ATM公司正完全摒棄 Windows XP,2019年1月便是完全遷移到 Windows 7 或 10 的截止期。同時,125家ATM公司組成的聯盟正在開發自己的ATM軟件標準,旨在徹底脫離Windows。然而,這需要時間,所以升級操作系統是重要的過渡步驟。
還有些潛在安全升級需要犧牲一定的便利性,所以可能不會馬上實現。比如說,一定數額以上的取現或交易如果要求雙因子身份驗證就能很大程度上削減復制卡的價值,但消費者愿意忍受這種不便嗎?
消費者該如何保護自身?
為避免各類支付卡信息被盜,請盡量使用接觸式支付或移動支付,比如 Apple Pay、微信支付等。這些支付方式不容易造成支付卡被復制,因而更加安全。使用ATM時盡量找銀行內部的機器,或者在照明充分、熙熙攘攘,竊賊沒辦法不受干擾地動手腳的地方。如果不得不使用你覺得可能被篡改的ATM,先檢查有沒有什么異常,比如機器表面的刮痕、密碼輸入鍵盤周圍的小變動。為防止墊片攻擊,插入卡片時感覺一下有沒有異常的阻礙感。最后,經常查看交易記錄,及時發現非授權支付。
【本文是51CTO專欄作者“李少鵬”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
