世界上几乎所有的ATM机都可能被非法访问和洗劫,不管是通过恶意软件还是利用其它手段。根据卡巴斯基实验室安全专家的研究,这一现象的主要原因是这些ATM机大量使用了过时的和不安全的软件,或者网络设置中存在问题,而且ATM机的关键部分缺乏物理安全防护。
很多年依赖对AMT机的客户和拥有者来说,最大的威胁是盗刷器――一种特殊的附加在ATM机上的设备,用来从银行卡的磁条中盗取数据。但是随着恶意技术的不断演化,ATM机面临的风险更多。2014年,卡巴斯基实验室研究人员发现了Tyuplin恶意软件。这是第一个广为人知的针对ATM机的恶意软件。之后,我们又在2015年发现了Carbanak网络犯罪组织,该组织进行了很多攻击行动,并且能够通过入侵银行基础设施盗窃ATM机中的现金。上述两种攻击方式都可能成功,因为它们利用了ATM技术和基础设施中广泛存在的多种常见漏洞。事实上,这些攻击只是冰山一角。
在对所有的ATM安全问题进行分析时,卡巴斯基实验室渗透测试专家基于真实的攻击案例进行了调查,并且对多家国际银行的ATM安全进行了评估。
根据调查结果,安全专家发现针对ATM的恶意软件攻击能够成功,主要是由于两个主要安全问题:
卡巴斯基实验室的研究人员发现,很多情况下,网络罪犯并不需要使用恶意软件感染ATM机,也不需要入侵银行的网络就可以成功进行攻击。这是因为很多ATM机本身缺乏物理安全保护措施,而且这一问题非常普遍。很多情况下,ATM机的建造和安装并不合理,可以让第三方访问到ATM机内部的计算机,或者利用网线将设备连接到互联网。即使网络罪犯获取到部分ATM机的物理访问权限,就可能:
假冒的处理中心是一种处理支付数据的软件,同银行使用的软件一样,尽管事实上假冒的处理中心并不属于银行。一旦ATM连接到假冒的处理中心,攻击者就可以发送任何指令,ATM机都会执行。
ATM机和处理中心之间的连接可以通过多种方式保护。例如,可以使用硬件或软件VPN、SSL/TLS加密、防火墙或MAC验证,部署xDC协议等。但是,这些措施并非总是被采用。就算部署了这些设施,也经常配置不当或包含漏洞,只有通过ATM安全评估才能够发现这些问题。所以,网络罪犯不需要对硬件下手,只需要利用ATM和银行基础设施之间的网络通讯安全漏洞就可以进行攻击。
“我们的研究结果显示,尽管供应商正在开发安全强度更高的ATM系统。但是很多银行仍在使用旧的并且不安全的ATM机型号,所以他们对相应的网络犯罪挑战没有准备。正是这种现状,造成很多银行和银行客户遭遇巨额损失。从我们的角度来看,这一现象的原因是长期误解所导致的。银行认为网络罪犯只对攻击在线银行感兴趣。他们的确热衷进行这类攻击,但是网络罪犯逐渐意识到ATM机安全漏洞的价值,因为这种针对银行设备的直接攻击能够显著减少他们获取真金白银所需的路径,”卡巴斯基实验室渗透测试部门安全专家Olga Kochetova说。
尽管上述的安全问题可能会影响世界上很多ATM机,但这并不表示这种情况不能得到改善。ATM机生产商可以采取以下措施,减少这些设备所面临的被攻击风险:
想要了解更多关于当代ATM机安全问题,请浏览Olga Kochetova撰写的相关文章,地址:Securelist.com