安全服务供应商研究发现大多数ATM只要不到20分钟就能攻陷

俄罗斯的漏洞安全解决方案供应商Positive Technologies近期公布一研究报告,该公司检验了市场上前三大ATM品牌—NCR、Diebold Nixdorf与GRGBanking,发现绝大多数的ATM(Automated Teller Machine,自动柜员机)都能在20分钟内利用各种安全漏洞加以攻陷。

Positive测试了上述三大品牌的10款ATM在不同配置下的安全性,总计测试了26台ATM,发现有85%的ATM禁不起网络攻击,69%的ATM可能遭受黑盒子(Black Box)攻击,76%可被操纵以退出自助终端模式(kiosk)以便于操作系统上执行攻击命令,还有92%的ATM允许黑客直接访问硬盘,另有42%可篡改开机模式,且所有的ATM都能被用来窃取银行卡信息,而上述种种的攻击所花费的时间都不会超过20分钟。

ATM主要由机体及保险箱组成,机体内置一个ATM计算机,可用来链接网络设备、读卡器、键盘及吐钞机,但它通常只利用塑料门及简单的锁加以保护,而且同款ATM经常使用一样的锁;至于保险箱的构架则相对安全,由钢材及混凝土构建,只包含吐钞机及现金点收模块。

这些ATM计算机都执行不同版本的嵌入式Windows,只有具备管理权限的人员才能操作Windows,用户看到的则是基于终端模式的功能界面。

ATM运行构架(来源:Positive Technologies)

黑客锁定ATM的攻击主要有两种目的,一是偷走放在ATM保险箱中的金钱,其次则是窃取银行卡信息。

Positive的安全研究人员指出,黑客可针对85%的ATM展开网络攻击,他们可以打开ATM,拔掉以太网络并换上一个恶意设备,直接或间接攻击网络服务,以访问ATM管理权限并植入恶意程序,通常在20分钟内就能完成攻击,若有内贼的帮忙或ATM的调制解调器放置于机体之外,更可缩短攻击时间。

在执行网络攻击的其中,如果ATM与银行处理中心的数据传递不够安全,黑客就能诈骗处理中心;或是选择开采网络服务的安全漏洞;也能攻击与ATM链接的网络设备。

至于所谓的黑盒子攻击(下图,来源:Positive Technologies)则是锁定吐钞机,虽然吐钞机处于非常坚固的保险箱中,但吐钞机与ATM计算机间的链接则是相对脆弱,因此,黑客可在ATM上钻孔以链接吐钞机的缆线,并将它接上自己的设备,也许只是在Raspberry Pi上执行变更过的ATM诊断工具,以避免触发各式警报,并执行吐钞命令。黑盒子攻击则在10分钟内就能完成。

退出终端模式的攻击则是企图访问应用程序界面底下的ATM OS,黑客可利用Raspberry Pi等设备来仿真用户的键盘输入,并将它链接到ATM上的USB或PS/2界面,在获得访问OS的权限之后,必须再绕过应用程序控制以对吐钞机发出指令,大约需要15分钟来完成相关攻击。

另一项攻击则是企图访问ATM硬盘,如果硬盘未加密,黑客就能轻而易举地植入恶意程序并嵌入吐钞命令,或是从硬盘中拷贝机密信息;黑客也能让ATM自U盘启动,虽然该启动功能需要输入BIOS密码,但研究人员发现有8%的ATM对此完全不要求密码,还有23%ATM的BIOS密码很容易猜到。这类攻击需时20分钟。

而篡改开机模式的用意则是为了避开系统的安全机制,以方便黑客下手,有42%的测试机型允许研究人员变更开机模式,且只需要15分钟。

此外,所有的ATM都允许黑客盗走用户的磁条银行卡信息,包括拦截ATM与处理中心之间的通信,或是OS与读卡器之间的通信,再用以制作伪卡。

Positive负责网络安全恢复能力的Leigh-Anne Galloway指出,该研究显示出大多数的ATM都未能阻止未知设备的链接,以致于让黑客能够接上键盘或其它设备,且绝大部分的ATM也都未限制用来访问OS功能的常用密钥组合,再加上终端的许多安全策略经常配置错误或完全未部署。

由于上述所有的攻击都必须实际接触ATM,因此Galloway建议企业应优先强化ATM实体的安全性,并认真监控ATM上的安全纪录与意外,且应定期展开ATM的安全分析。