ATM 惡意程式正在興起

近日台灣發生銀行ATM 遭盜領 7千萬事件震驚全國,其實自動提款機盜領在國際間層出不窮,本文介紹目前已知的幾種 ATM 攻擊手法。

近日台灣發生銀行ATM 遭盜領 7千萬事件震驚全國,其實自動提款機盜領在國際間層出不窮,本文介紹目前已知的幾種 ATM 攻擊手法。

 

歹徒再也不必靠蠻力就能輕鬆偷走 ATM 自動提款機的錢。現在,資安產業和執法機關已意識到,ATM 也開始成為駭客攻擊的目標。早在幾年之前就有資安研究人員發現專門攻擊 ATM 提款機的惡意程式,而且也實際看過歹徒得逞的案例。在這些案例中,歹徒使用的是專門針對 ATM 設計的惡意程式。從實體轉到數位的犯案手法,意味著犯罪集團已經發現一項事實,那就是:採用惡意程式來竊取提款機中的鈔票或提款卡資料,反而更輕鬆、也更安全。看來,這股趨勢未來只會更加嚴重,因此值得我們來探討一下網路犯罪集團目前已知的幾種 ATM 攻擊手法。

圖 1:歐洲 ATM 攻擊案例 (2011 至 2015 年)。

 

ATM 相關詐騙與實體攻擊

前述數字顯示,ATM 相關詐騙和攻擊數量在過去幾年大致呈現上揚的走勢 (ATM 相關詐騙與攻擊從 2014 至 2015 年成長了 15%)。軟體攻擊的成長趨勢,意味著精明的網路犯罪集團已意識到駭客工具在該領域的潛在應用商機。然而這些數字卻還只是惡意程式在 ATM 竊盜領域初試身手而已,未來勢必更加猖獗。

儘管我們手上並無 ATM 惡意程式在美國地區的攻擊數據,但根據歐洲 ATM 資安團隊指出:「國際上已出現許多損失案例,在單一歐元支付區 (Single Euro Payments Area,簡稱 SEPA) 之外的國家和地區就有 53 起案例,而在 SEPA 區域內則有 10 起案例。前三名的地區分別是美國、印尼和菲律賓。」

 

ATM 惡意程式是如何興起的?

趨勢科技與歐洲刑警組織 (Europol) 的歐洲網路犯罪中心 (European Cybercrime Center,簡稱 EC3) 針對 ATM 網路威脅的發展進行了一項共同研究。根據我們的研究顯示,犯罪集團之所以會利用駭客工具來搭配傳統的 ATM 竊盜手法,背後有多項因素。

其中一項主因是某些 ATM 提款機仍在使用過時而再也無法獲得安全更新的作業系統 (如 Windows XP)。另一項原因是犯罪集團意識到數位犯罪手法的風險更低,而且可以暗中移動。還有另一項重要因素是 ATM 廠商會透過一個名為「金融服務延伸功能」(eXtensions for Financial Services,XFS) 的中介軟體所提供的應用程式開發介面 (API) 來操控各類型的提款機周邊裝置 (如:密碼輸入鍵盤、吐鈔機等等)。簡單來說,若我們將今日的 ATM 提款機看成一台 Windows 電腦加上一個軟體操控的鈔票箱,這樣就不難理解為何 ATM 提款機會成為惡意程式作者覬覦的目標。

圖 2:XFS 系統架構。

 

當今主要的 ATM 惡意程式

趨勢科技與 EC3 的研究同時也調查了當今流通的一些主要 ATM 惡意程式。從下圖的惡意程式發源地可以看出一個有趣的現象:它們都集中在拉丁美洲和東歐,因為這些地區的商業銀行缺乏充分的安全措施,使得該地區的網路犯 罪集團有機可乘。此外,我們也看到這類攻擊手法開始逐漸蔓延至其他地區 (儘管速度緩慢)。雖然我們尚未看到 ATM 惡意程式在地下市場流通,但這應該只是遲早的問題。

前述每一個惡意程式家族都有其不同特色,主要差異在於 (1) 可攻擊的 ATM 廠牌型號,(2) 惡意程式的攻擊能力:盜取使用者輸入的卡號密碼或是吐鈔。這些惡意程式都有個共同點,那就是通常須由 USB 或 CD 光碟機手動安裝到機器上。

圖 3:ATM 惡意程式家族及發源地。

 

前述資料來自趨勢科技與 EC3的一項針對 ATM 惡意程式現況的共同研究。這份報告詳細分析了當今 ATM 所面臨的網路威脅,包括歹徒的最新手法及對應的防範措施。這份共同研究報告可說是政府執法機關與民間產業合作打擊網路犯罪的另一個成功案例。

(本文由趨勢科技授權轉載)