在网络普及的今天,狡猾的取款机劫匪在ATM前面板上钻个3英寸的小洞,就能轻松清空整台机器里的钞票。
4月3号,俄罗斯安全公司卡巴斯基揭露了一种新的ATM攻击方法,综合利用了数字技术和非常精准的物理渗透技术。卡巴斯基团队甚至逆向并演示了该攻击——仅使用了便携式电钻和价值15美元的自制设备,便注入恶意指令触发提款操作。
尽管没有点明受影响的ATM制造商和银行,卡巴斯基警告:俄罗斯和欧洲已出现了这种电钻攻击,该技术可致全世界的ATM机受到所装钱款分分钟被清空的威胁。
卡巴斯基分析师年度峰会上,代表该研究团队发言的伊戈尔·索门科夫说:“我们想知道:一个小洞和一根连线能对ATM内部机制控制到何种程度?结果是,我们能做任何事情。取款机乖乖听命,吐出钞票,而且用超级简单的微电脑就能做到这一切。”
钻孔
对卡巴斯基而言,钻孔ATM的传说从去年秋天就开始了。当时,一家银行客户向其展示了一台被清空的ATM机,机器上所留唯一证据,就是密码小键盘上高尔夫球大小的一个洞。为隐藏其干净利落的清空手术,窃贼甚至还用贴纸把洞给盖上了。最终,研究人员接到了近一打类似的ATM劫案。警方逮捕其中一名嫌犯时,发现了一台笔记本电脑,还有一根探进面板小洞的线缆。
“
仅仅是一台笔记本电脑,一根连线,还有个洞,仅此而已。
卡巴斯基的研究人员搞了一台同型号的ATM机放在他们的测试实验室里,这机器自90年代起就广为使用了。打开前面板,可以看到可能是窃贼通过小洞连接的一个串行端口。该端口连接到串联起ATM机所有组件的内部总线上,从控制用户界面的计算机到吐钞器都连上了。然后,研究人员花了5周时间,用示波器和逻辑分析仪,从原始电信号解码了ATM内部通讯协议。他们发现,该机器唯一的加密机制,就是用个弱异或(XOR)密钥,而且机器各模块间根本没有真正的身份验证。
说实话,这就意味着该ATM的任何部分基本上都可以往其他部分发送指令,这使得攻击者可以冒充受ATM信任的计算机向吐钞器发送假指令。
最终,研究人员打造出了自己的钻洞吐钞设备。他们这台设备十分紧凑,甚至比被捕嫌犯的笔记本电脑还小,仅由一块试验电路板、一个Arduino微机上常见的Atmega微控制器、一些电容器、一个适配器和一块9伏电池组成。总成本不足15美元。
在测试中,该设备可在数秒连接时间内触发吐钞,想吐出多少钞票吐多少。攻击速度的唯一限制,在于ATM“注意”到吐钞器独立运行并重启的时候。不过,研究人员称,在重启“入场”前,他们便能卷走上万美元。而且,这种攻击是可以重复的,直到机器里的钞票全部被拿走为止。
ATM已成常规目标
卡巴斯基称已通告该机型ATM制造商,但此问题难以修复:受影响软件不能被远程更新。修复将涉及硬件更换,添加更多的身份验证措施,或者增加物理安全措施。比如访问控制和监视摄像头,威慑窃贼,让他们不敢亲身出面打劫这些机器。
ATM常被黑客盯上。最近,从台湾、泰国到俄罗斯的攻击,都用恶意软件感染银行内部网络,触发ATM吐钞。在紧密配合的行动中,钱骡从受害银行的取款机人肉取走大堆钞票。
3号的会议上,卡巴斯基的研究人员还揭露了一种新型的ATM恶意软件,该软件通过隐秘的无文件感染植入俄罗斯和哈萨克斯坦银行的机器。其他物理接触攻击则简单粗暴地打开取款机装恶意软件——无论巧妙开锁还是直接毁坏面板锁,或者使用这种对机器内部的物理访问来直接将黑客工具连到吐钞器上。
钻孔取钱技术代表着一种更简单更隐秘的深入ATM内部的途径。突破银行后端网络需要更复杂的网络入侵技术,打开机器面板植入恶意软件,或者直接连接工具到吐钞器则会触发警报。在机器前面钻个洞,就不会触发同样的警报。
某种意义上讲,对ATM的物理攻击,是个无法解决的问题。计算机安全专家一直在提醒:只要攻击者采取物理控制,没有任何计算机是安全的。但是,弱加密和组件间身份验证的缺乏,会让ATM特别难以防范物理攻击——对不安全机器任意部件的访问意味着对其最敏感核心的访问。深夜伫立在漆黑街道上还满腹现金的ATM是十分危险的,对其上电脑的数字安全多加考虑,是一笔很划算的投资。