近日，PCI安全標(biāo)準(zhǔn)委員會(huì)(PCI SSC)和ATM行業(yè)協(xié)會(huì)(ATMIA)發(fā)布了聯(lián)合公告，警告針對(duì)ATM機(jī)(提款)威脅日益嚴(yán)峻，需要引起全球金融機(jī)構(gòu)的緊急密切關(guān)注。

[[345576]]

ATM提款攻擊

ATM自動(dòng)柜員機(jī)提款攻擊是精心設(shè)計(jì)的攻擊，在這種攻擊中，犯罪分子會(huì)破壞銀行或支付卡處理器，并操縱欺詐檢測(cè)控件并更改客戶賬戶，在短時(shí)間內(nèi)從眾多自動(dòng)提款機(jī)中提取資金且沒(méi)有金額限制。

犯罪分子經(jīng)常通過(guò)篡改余額和取款限額的手法“把ATM當(dāng)成提款機(jī)”，將ATM機(jī)里的現(xiàn)金洗劫一空。

ATM提款攻擊如何實(shí)施?

ATM提款攻擊需要仔細(xì)計(jì)劃和執(zhí)行。通常，犯罪組織可以遠(yuǎn)程訪問(wèn)銀行卡管理系統(tǒng)，以更改防欺詐控制措施，例如提款限額或泄露的持卡人賬戶的PIN碼。通常，這是通過(guò)網(wǎng)絡(luò)釣魚(yú)或社會(huì)工程方法將惡意軟件插入金融機(jī)構(gòu)或付款處理器的系統(tǒng)中來(lái)完成的。

然后，犯罪企業(yè)可以創(chuàng)建新賬戶或使用已損壞的現(xiàn)有賬戶和/或?qū)⒁褤p壞的借記卡/信用卡分配給以協(xié)調(diào)方式在ATM上取款的一群人。

通過(guò)控制卡管理系統(tǒng)，犯罪分子可以操縱余額和取款限額，以允許ATM取款，直到ATM機(jī)上的現(xiàn)金不足為止。

這些攻擊通常不會(huì)利用ATM本身的漏洞。利用發(fā)卡行授權(quán)系統(tǒng)中的漏洞后，ATM便可以提取現(xiàn)金。

誰(shuí)受到的威脅最大?

金融機(jī)構(gòu)和支付處理商承受的財(cái)務(wù)風(fēng)險(xiǎn)最大，并且很可能成為這些大規(guī)模協(xié)調(diào)攻擊的目標(biāo)。這些機(jī)構(gòu)很可能在很短的時(shí)間內(nèi)損失數(shù)百萬(wàn)美元，并且由于這種高度組織化，精心策劃的犯罪襲擊，它們可能在全球多個(gè)地區(qū)爆發(fā)。

有哪些攻擊檢測(cè)最佳實(shí)踐?

• 對(duì)基礎(chǔ)賬戶和交易量進(jìn)行流速監(jiān)控;
• 24/7監(jiān)控功能，包括文件完整性監(jiān)控系統(tǒng)(FIM);
• 報(bào)告系統(tǒng)可在發(fā)現(xiàn)可疑活動(dòng)后立即發(fā)出警報(bào);
• 事故響應(yīng)管理系統(tǒng)的開(kāi)發(fā)與實(shí)踐;
• 檢查意外的流量來(lái)源(例如IP地址);
• 尋找未經(jīng)授權(quán)的網(wǎng)絡(luò)工具執(zhí)行。

有哪些最佳預(yù)防實(shí)踐?

• 強(qiáng)大的系統(tǒng)訪問(wèn)控制和識(shí)別第三方風(fēng)險(xiǎn);
• 員工監(jiān)控系統(tǒng)，以防止“內(nèi)部工作”;
• 對(duì)員工進(jìn)行持續(xù)、連續(xù)的網(wǎng)絡(luò)釣魚(yú)安全意識(shí)培訓(xùn);
• 多因素認(rèn)證;
• 強(qiáng)大的密碼管理;
• 需要進(jìn)行身份驗(yàn)證/批準(zhǔn)，才能遠(yuǎn)程更改帳戶余額和交易限額;
• 及時(shí)實(shí)施所需的安全補(bǔ)丁(ASAP);
• 定期開(kāi)展?jié)B透測(cè)試;
• 經(jīng)常審查訪問(wèn)控制機(jī)制和訪問(wèn)特權(quán);
• 嚴(yán)格分離具有特權(quán)訪問(wèn)權(quán)限的角色，以確保沒(méi)有一個(gè)用戶ID可以執(zhí)行敏感功能;
• 安裝文件完整性監(jiān)控軟件，該軟件還可以用作檢測(cè)機(jī)制;
• 嚴(yán)格完整遵守PCI DSS。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文