atm

卡巴斯基专家对去年的金融网络威胁进行了分析，发现越来越多的网络罪犯将企业当做攻击目标，去年有19%的 银行业恶意软件受害人都是企业用户。

大家可能注意到我们很喜欢讨论ATM机盗窃案。当然，我们本身不会这样做，但是只要有人干了，我们会立即跳出来讨论相关案例。一年一度的安全分析专家峰会（SAS）是卡巴斯基举办的一项重要网络安全活动。在2017安全分析专家峰会上，卡巴斯基实验室专家Sergey Golovanov和Igor Soumenkov谈到了下面三个很有意思的案例。

不管你知不知道ATM盗读器（skimmer）是什么，都该读一读这篇博文—了解如何保护自己银行卡的安全。你需要时常注意ATM机上是否有可疑的附着物，并避免使用看上去有问题的ATM机。但如果未发现任何附着物，又或者盗读器是完全隐形的呢？

在我们最近的一篇博文《银行卡欺诈：针对ATM机的犯罪活动》中，我们介绍了”盗读者”们如何通过其独特的犯罪手段轻松窃取我们的卡内资金。这一犯罪活动之所以依然猖獗的主要原因是：银行仍然使用的是上世纪70年代的银行卡安全系统技术。卡内磁条上的数据以’纯文本’的形式编写，而PIN码只是一段很短的安全数字，因此非常容易被盗。而最关键的问题是，这是唯一保护您银行账户的安全措施。 毋庸置疑的是，金融业每天都因各种欺诈活动而遭受巨额的资金损失，因而他们正不遗余力地部署更为先进的交易安全技术。 到目前为止，最成功的技术非启用芯片的银行卡（或被称为EMV卡）技术莫属。随着欧洲和加拿大大范围采用这一技术，这些地区和国家的复制卡犯罪案数量得以大幅下降。使用读卡器的”盗读者”们不得不转战EMV卡还未普及使用的美国和亚洲地区，以寻求作案机会。 然而，先进的EMV系统可能会对银行卡保护起到一定作用，但并非是理想选择也无法保护任何所能想象到的威胁—假设盗读技术依然不断得到发展和进步。在不久的将来，最大的可能性是我们使用不同类型的银行卡。 那未来到底会有哪些类型的银行卡呢？让我们共同一探究竟。 密码和回答 最先想到的解决方案是再加一层安全保护—比如广泛运用于互联网的双重认证方法。 当在线支付时，除了银行卡背面的CVV2安全代码以外，持卡人还需输入随即生成的密码：以短信形式发送到手机的、ATM打印的或由银行授权硬件工具生成的代码。如果涉及金额很大的话，双重认证还可以被用于离线交易。 带集成显示屏的银行卡就部署了类似的认证方法。此类情况下，常规信用卡也可配备内置微型计算机（包括LCD显示屏和数字键盘）。除了生成一次性密码以外，还可显示账户余额和历史交易记录等内容。 尽管首张交互式银行卡早在5年多前就已问世，但仅有欧洲、美国和亚洲发达国家的特定几家银行可向客户提供。 按需”生成”磁条 一家美国公司Dynamics研究出了一项更为奇特的解决方案。就表面意思来说，该卡内的确没有固定的磁条。所谓的”磁条”由该卡内的硬件按需动态生成，而用户首先需要通过卡上集成键盘输入密码。 如果你碰巧忘记了密码，则磁条将无法生成，造成交易也无法进行。此外，该卡也没有通常的16位数卡号：一部分位数并未直接印刻在塑料卡片上，而在输入密码后显示在卡上的微型显示屏上。 指纹确认交易 密码可能是保护自己银行卡的强大武器，但对于健忘且无法保密的人而言几乎毫无用处。我们都听说过这样的故事：”聪明过头”持卡人将PIN码写在卡片上，随后就连卡一起丢失了。 基于生物统计的验证方法可以彻底解决这一问题。一家总部位于挪威的公司Zwipe与万事达卡合作，目前正在试验以确定在信用卡上集成指纹扫描器的可能。一旦成功推广的话，以后确认交易只需将手指按在卡上接触片即可确认交易。 量子技术将大有可为 尽管已研究了数十载，但完全可操作量子计算机仍然遥不可及。但希望依然存在：量子技术的某些功能可用来创建无法伪造的标识符。 来自屯特大学和埃因霍芬理工大学的荷兰研究人员计划将基于量子的安全系统理念运用于信用卡和个人证件上。尽管这项技术依然停留在实验室试验阶段，但基于量子的安全系统的模型目前正在开发之中并有了正式的名字-量子安全认证（QSA）。 一张普通塑料卡片的一小部分涂有一层非常薄的氧化锌（又称”锌白）。随后再小心地对该部分进行激光光子扫射。当射到纳米粒子时，光子会在氧化锌层内部随意反射。这一过程能够改变粒子层的光学性质，进而形成一个独一无二的秘钥。 任何尝试潜入系统的其它探测器将破坏至少一部分光子的量子状态，并导致攻击者的整个入侵过程以失败而告终。 如果有人对此类银行卡发射一系列激光脉冲（例如：’提问’），他们会收到一个确定的反射模式（例如：’回答’）。独一无二的’提问-回答’组合包被保存在银行数据系统内，并被用于验证秘钥。 犯罪分子将无法在交易过程中拦截提问-回答组合包。任何尝试潜入系统的其它探测器将破坏至少一部分光子的量子状态，并导致攻击者的整个入侵过程以失败而告终。 无论采用何种方式入侵该安全系统，伪造的银行卡必须大小完全一样，此外也必须满足位置和纳米粒子其它参数上的一致，如此才能保持和原卡的精确一致。但由于工艺实在过于复杂因此在实际操作中根本不可行。 QSA开发人员表示，尽管这一技术理念看似复杂，但完全可以利用现有的技术和方法，因此要部署这一技术相对简单且价格低廉。 快中有慢 银行立刻部署上述安全系统的可能性很小。金融业通常都相当保守，且真正大规模部署该项新技术需要耗费巨额成本。 考虑到这一点，我们相当确定支付方法创新将首先出现在非银行类的服务中：例如，类似于已为人们熟知的Apple Pay或Google Wallet的新支付系统；或像Coin、Wocket和Plastc这样前途光明的”黑马”（我们将在以后与您分享有关它们的故事）。

在本系列的第一部分，我们探讨了银行卡’盗读者’所使用的犯罪技术。今天，我们将为您讲述此类犯罪案件的另一部分内容，即这些犯罪分子是如何实施危险性最高的盗读过程。 外包盗读过程 对于大多数’盗读者’而言，根本无需掌握太多专业的犯罪技术。然而，有些操作–包括硬件安装过程–危险性极高。有时候，这些高危工作就外包给了所谓的’业内专家’。 一名技术娴熟的”专业人员”只需要30秒钟左右的时间就能安装完成一部盗读设备。除此之外，还需要完成多个步骤的前期准备和情报收集工作，包括：现场环境和监视摄像机的分析以及确定人最少的时段—所有这些工作都少不了长期在目标附近蹲点的同谋犯。 熟练安装工所安装的盗读器很难被拆除。头脑冷静、衣着考究的绅士只需声称在ATM机上看到了一些可疑的东西并只是想在报警之前确认一下，就能将自己的罪行洗脱得一干二净。此类犯罪行为难以被证实，尤其是在犯罪分子将黏胶和安装的盗读器清除以后。这也是为什么银行方面建议用户不要去触碰任何可疑的东西，而应直接报警的原因。 除了ATM机以外，”盗读者”感兴趣的目标还有其它接受银行卡的终端类型。这些终端包括：加油站和火车站的自动售货机–以及其它各种类型的自动售货机。相比于ATM机而言，普通人对于此类机器的戒心较少，且安全保护等级也更低。 “收割”犯罪活动 一旦盗读硬件安装完毕，犯罪分子就能实施第二阶段的”欺诈”工作–’收割’。他们利用欺诈行为还未被发现前的这段时间疯狂地复制尽可能多的银行卡：只要银行发现了这一盗读犯罪活动，”被收割”银行卡持卡人阻止他们的几率将更高。为了观察现场状况，”盗读者”的同谋犯必须在目标ATM机对面的车内或咖啡厅内长期蹲点。 如果一直没人发现ATM机有异样，欺诈活动将一直进行下去直到电池耗尽，从而盗取上千个银行卡认证信息。 如果一直没人发现ATM机有异样且银行安保也毫无察觉的话，欺诈活动将一直进行下去直到电池耗尽，从而盗取上千个银行卡认证信息。 最贪心的犯罪分子会去拆除设备以便用于下次犯罪活动，但最聪明的”盗读者”则会直接将设备遗弃，为的是最大降低被捕风险。从被盗卡所赚取的所有利润可能有数千美元之多，这足以弥补任何设备的损失。 从复制的银行卡内取款也是一种独立的高风险犯罪行为–因此这一部分的工作也常常被外包出去。一般来说，”钱骡”被雇佣来完成这一部分的工作。 有时候”钱骡”只是简单地将取出的现金交给专业化的”盗读者”，按之前商定好的比例抽取佣金。但也有一些”钱骡”会主动购买被盗磁条数据，但这是另一回事了。 过于原始的技术 从银行卡内窃取现金之所以如此轻而易举，主要得益于银行卡的安全技术过于原始。基于磁条的银行卡最早出现在几个世纪以前，而在上个世纪中叶，专门窃取和复制银行卡认证信息还闻所未闻。 从银行卡内窃取现金之所以如此轻而易举，主要得益于银行卡的安全技术过于原始。 记录在磁条上的数据缺乏足够的保护措施，只有一条相当短且易受攻击的PIN码用来进行交易验证。在发明磁条技术后还出现了几种加强的保护技术，但却并非是每一张银行卡的标配。 不用说，支付系统和银行已花费了数年的时间来开发一种针对该问题的解决方案。在过去的20年内，欧洲越来越多采用同时配备磁条和集成芯片的EMV银行卡。 两者之间的差别是芯片无法像磁条那样能被复制。在使用EMV银行卡取现时，ATM机会要求卡内芯片创建一个独一无二的一次性密钥，虽然也可能会被盗走，但却无法用于另一笔交易。 尽管安全研究人员已报告了大量存在于EMV银行卡内的漏洞，但在实际操作起来却是另一回事。虽然这一技术进步可能会彻底打垮”盗读者”的犯罪活动，但依然需要一段过程：全部采用EMV银行卡将是一个长期、复杂且代价高昂的过程，并需要相关各方的参与。 所有相关各方都必须参与其中，共同协作：支付系统、银行、购方企业、POS终端生产商以及其他各方。这也是为什么如此多的国家（包括发达市场）依然使用陈旧的非EMV银行卡的原因。 即便如此，基于EMV的银行卡也有可能被盗读。但为了与旧式终端反向兼容和提高适应力，可能必须是基于磁条数据（而非芯片）才能完成交易。 据欧洲ATM机安全团队报告，尽管EMV程序正在全美范围开发，但”盗读者”依然十分猖獗。亚洲的印度尼西亚和泰国，欧洲的保加利亚和罗马尼亚也成为这方面风险最高的国家。 有关如何避免成为#ATM#机盗读者受害人的10条简单的#安全小贴士# 银行可能会赔偿被盗读者所窃取的资金，尤其是当责任被转移到了另一方–可以是支付系统、ATM机所有人或保险公司。但大多数情况下，被盗读卡持有人将不得不自己买单，这方面已有大量的案例佐证。 规避法则 不存在万无一失的方法能100%保证你的银行卡不会被ATM机盗读者所利用，但我们可以为你提供一些简单的安全小贴士以规避此类风险。 1.如果你的银行卡没有集成EMV芯片，则应完全弃用。你可以要求银行为你更换EMV银行卡。即便使用芯片集成的银行卡也无法保证100%的安全，但依然能规避大部分的风险。 2.启用短信通知功能来更好地追踪交易。你越早发现被盗刷的证据，则追回损失资金的可能性越高。 3.如果你不是经常外出旅行或出差，询问银行是否能够限制异地交易（当你需要出国时，可以将交易权限限制在目的地国境内）。这是一种非常有效的方法，在欧洲多国已得到验证。

我们都知道需要小心提防扒手。尽管早期儿童教育并没有教给孩子如何在外面时盯紧自己口袋，但生活的经历教会了他们这些简单的道理。同样的道理也适用于网络黑客。如今，互联网上铺天盖地有关网络黑客活动的报道，即使是儿童也略知一二。 但有关”盗读者”的新闻却鲜有报道，因此很容易让你不知不觉地落入此类网络犯罪活动的圈套。这些盗读者借助安装在ATM机上的微型隐秘硬件，专门从事盗取银行卡认证信息的犯罪活动。尽管警察、银行和支付系统都付出了巨大努力，但银行卡账户的盗窃金额依然呈上升趋势。 盗读者有点像扒手（都使用类似的手上技巧），在某种程度上也有点像网络黑客–他们所从事的犯罪活动完全依赖于一些高科技和PC电脑技术。 只要你使用ATM机提款就有可能成为他们的攻击目标。一旦你的银行卡内没有内置芯片，你的处境将十分危险：无芯片银行卡被盗读的风险要高得多。如果你没有订阅银行短信通知、将自己的银行卡随意插入街上看的任何ATM机以及将取现PIN码到处公开的话，这些都会让你成为盗读犯罪受害人的可能性更高。而你的这些愚蠢行为将让盗读者们暗自窃喜。 事实是，近些年来此类违法活动案件与日俱增，且所用技术不断进步。但犯罪原理仍然缺乏新意：使用隐秘技术读取银行卡磁条内数据，偷偷记录PIN码，将卡复制后清空该银行卡账户内的所有资金。然而，数据盗窃的技术却已突飞猛进。 完全商业化 以前，有一些盗读者还会将自制的银行卡读卡器和粗制滥造的硬件用在ATM机加钞盒上，冒着当场被抓的风险手动提取数据。但这样的时代早已过去了。随着这个”行业”的不断发展，动手自制工具的盗读者也已不复存在。如今，银行卡盗读变成了一项组织精良且高度自动化的犯罪活动。 这一犯罪链的第一环是现成硬件解决方案（由大量可用部件制作而成）的制造者和销售者。所有交易均在网上进行，并通过快递送到买家手中–对于犯罪分子而言这是最安全的方法。 想要验证盗读硬件是否真如想象得那般流行，只需在任何一个搜索引擎中输入一个简单的求购信息。这一套工具包括：可从一张塑料卡片内提取数据的隐秘读卡器、一块能够获取PIN码的伪造面板以及附带相应功能的复制卡设备，所有这一套售价通常在1500-2000美元之间。而信息科学专家Brian Krebbs估计这样一套工具在几年前的售价高达1万美元。 盗读工具的买家并不需要是精通技术的专业黑客：这些工具通常都会附带详细的操作手册，有些手册甚至还写有’最优方法’的内容。有些内容甚至详尽到列明了推荐使用的一次性电池型号，以确保读卡器能够电力充足，持续工作。 科技突飞猛进 技术进步加上巨大的需求，推动了用于违法活动的电子部件技术的飞速发展。一旦安全专家推荐采用何种特殊方法检查ATM机，那这种推荐的方法很快就会失效。 首先，经验丰富的犯罪提供商所出售的硬件几乎很难与ATM机原始部件区分。即使是再仔细的用户都无法分辨两者的区别：伪造的加钞盒无论是所用塑料的材质类型还是颜色都与合法的加钞盒一模一样。只是在形状上稍有不同。 之所以能如此逼真，是因为制造商精心仿制了大量广泛使用加钞盒模型（拥有众多客户的大型银行都使用这一模型）的ATM机元素。当然，银行本身也采用了反盗读技术作为应对方法。 其次，还有盗读者将读卡器手动放入加钞盒随后进入ATM机内部。这一新奇的小玩意引述自欧洲ATM安全团队（非营利性组织）近期所发表的报告中。更可怕的是，此类设备根本无需读取银行卡磁条—他们使用ATM机内的资源来读取。 手动提取数据也早已过时了。新型读卡器配备有通过普通蜂窝网络发送加密（你听的没错，盗读者也用这玩意！）磁条数据的GSM模块。 看好你的PIN码 一切准备就绪后，获取PIN码变成了最简单的一环。为了偷偷记录PIN码，犯罪分子只需使用微型隐秘摄像机甚至类似于iPod Touch（以细长Z高度和强劲电力而著称）这样的普通移动设备就能办到。 微型摄像机可以安装在ATM机按键上方或房间的其他位置。盗读者尤其钟情于银行用来摆放宣传资料的架子。作为银行的内部装饰，这些通常都被视为安全的。 然而，如果有取款人不小心用手挡住了镜头，则偷偷安装的微型摄像机将无法起到任何作用。此外所拍摄视频也无法很方便地发送和处理，并需要一些手动工作。 针对ATM机小键盘的细长伪造面板的价格正在变得越来越便宜，现在黑市的售价普遍低于1000欧元，这也造成此类犯罪案件数量的持续攀升。如此就算镜头被遮住–伪造面板也能检测你的PIN码。将4位PIN码通过短信发送至盗读者数据库相比处理一长段视频要容易许多，且整个过程几乎都是自动进行的。 当然，尽管盖在原始小键盘上的虚拟面板明显有凸起感，但几乎没有一个取款人会近距离检查键盘并仔细查看之间的缝隙。从上面看，整个结构看不出什么异常–伪造面板采用与原始ATM机键盘相同的钢材和优质涂漆。 此外盗读者还使用另一项技术，用来保护解码和复制的信息。这也是盗读者用防范其他竞争同行和执法人员的方法。 一旦密码错误，盗读软件将无法提醒用户输入PIN码错误–只是简单地关机了事。一旦这些错误密码交给警察，盗读者完全可以辩解说这个程序是一种无害的小软件。这样的手段真是”高明”… 而想要证明这是这是用于犯罪活动，执法人员必须聘请有资质的专家来分析这些代码，而这将使一个艰苦且旷日持久的过程。 依照上述所说的，科技只是犯罪案件的一部分。许多盗读操作依然采用的是手动方法，且风险极高。在接下来的博客中，我们将详细论此类案件中这一部分内容，同时还将为您提供一些安全小贴士以保护银行账户避免落入犯罪分子之手。

一般来说，如何才能从ATM机中取现？首先，你需要有一张借记卡或贷记卡，就好比是打开银行账户的钥匙。其次，你必须知道所有用卡的PIN码；否则的话，银行将不会批准任何交易。最后，你必须在银行账户内存有一定金额。但是，黑客们的做法则完全不同：他们取现无需任何的银行卡、PIN码或银行账户。在现实中，他们所需要的只是一台存放有现金的ATM机和一种特殊软件。 今年早些时候，应一家金融机构的要求，我们的全球研究和分析团队（GReAT）同事们对将东欧数台ATM机作为目标的网络犯罪攻击进行了法院立案调查。他们的发现令人大吃一惊。想象一下以下场景：一个人走到ATM机前，在加密键盘上输入一串代码后，立即就能取出40张钞票，不断重复以上动作后，就能无限次地取出现金。这到底是怎么实现的？我们的安全专家们表示所有这一切都是因为ATM机内的计算机感染了一种被称为”Tyupkin”的木马病毒，该病毒会迫使ATM机在输入特殊代码时吐出钞票。 黑客们获得访问几十台ATM机权限，从而窃取了大量现金 据有关调查显示，网络犯罪分子能以某种物理方式访问ATM机，因此得以使用可启动CD光盘在嵌入式Windows系统计算机上安装恶意软件。所使用的木马病毒则拥有强大的综合能力。首先，当它在ATM机内被激活，则能关闭McAfee Solidcare反病毒软件，从而在没有任何干扰的情况下感染计算机。 其次，为防止偶然性的系统安全检测，Tyupkin木马病毒能够整整一周保持待机模式，并在周日和周一晚上激活。第三，Tyupkin木马病毒还能在紧急情况下禁用本地网络，从而导致银行无法远程连接ATM机，因此也无法查看系统当前状态。 网络犯罪分子只需向受感染ATM机输入几行代码—AMT机就会自动吐出成捆的钞票！ 得益于所有这些高级特性，网络攻击者只需接入受感染ATM机并输入一串特殊的PIN码，就能轻松访问能让ATM机自动吐钱或控制木马病毒（例如，删除它）的隐秘菜单。为了能让ATM机自动吐钱，犯罪分子必须知道适用的命令以及计算会话密钥的特定公式—类似于一种双重认证。如果两个代码都正确的话，将出现第二个菜单，能让犯罪分子自己选择要从哪个钞票盒取现。尽管每次交易只能取出40张钞票，但只要无限进行下去，即能得到一大笔钱。 网络攻击者竟能从ATM机内窃得数十万美元的巨款，而没有引起任何的注意。卡巴斯基实验室GReAT团队首席安全研究员Vicente Diaz表示，目前黑客们只能感染某些型号的ATM机，但如果银行和ATM机制造商无法提高这些设备的物理和软件保护能力的话，遭入侵的ATM机种类将持续增加。