【Technews科技新报】相信大家对先前锁定特定型号 ATM,远程骇入让 ATM 自动吐钞的事情印象深刻吧。尽管黑客集团派来中国台湾地区取钞的车手落网,Group-IB 的报告指出背后的俄罗斯黑客集团肆虐各地,包括俄罗斯在内的欧洲各国,还有泰国。
骇入 ATM 取钞已经有 5 年的时间,但到最近才跃上新闻版面,原因是黑客必须要能够实际碰到 ATM,因此每次能搞到的机器数量往往很少。但技术演进,已经可以靠远程的指挥中心,一次动到好几台 ATM 机器,趁银行还没发现异状前,抢到大量纸钞后溜走。
至于黑客怎么侵入银行网络呢?黑客会假装是欧洲中央银行、ATM 厂商,寄钓鱼信侵入银行网络。尽管看邮件帐号应该是这些厂商、监管单位寄来的,实际上是伪造的寄件服务器,追踪实际的 IP 是在俄罗斯境内。其中有一封 7 月寄的信里头,夹带匿名的邮件脚本 “yaPosylalka v.2.0” (另一个名称是 “alexusMailer v2.0”)。信件夹带 Banks.doc 或是 Bitcoin ATM’s doc 档案,但都藏有恶意程序码,一不小心打开了就会感染。
▲ Group IB 取得的钓鱼信范例。
Group IB 表示,从前黑客是针对个人攻击,像是盗取信用卡资讯后盗刷,或是骇入取得个人的线上帐号存取权。如今转向更大的目标,那就是银行的网络,所以不只有 ATM 机器,还有整个电子支付系统也潜藏危机。2 月时孟加拉中央银行的 SWIFT 信息遭破解,造成超过 8,100 万美元被窃,创上史上金额最大的数码抢劫案之一。
Group IB 认为这些案件背后为单一集团,代号 Cobalt 所为,而从使用的手法和工具来看,可能跟俄罗斯的黑客集团 Buhtrap 有关。不过 Buhtrap 用诈骗电汇方式偷钱,而不是透过骇入 ATM。
世界最大的两家 ATM 制造商 Diebold Nixdorf 和 NCR 公司都很清楚被锁定,已经协助顾客对付威胁。
“黑客集团已经将先前的技俩升级,现在已经可以一次攻击大量的机器了,”Diebold Nixdorf 核心软件和 ATM 安全资深总监说。“他们知道他们很快就被抓了,因此他们找到能一次让很多台 ATM 同时吐钞的方式,并且尽可能在被发现前取钞。”
“我们跟顾客密切合作,包括那些已经被侵入,以及要开发防范措施和策略,减低攻击造成影响的顾客,”NCR 公司全球企业诈马和信息安全营销总监 Owen Wild 说。看来银行、ATM 机公司都很努力要防范下一次的侵入事件,希望别又有相关事件发生了。