針對比特幣ATM下手
比特幣ATM是種類似一般ATM(提款機)的互動式販賣機,它主要的功能是能將比特幣與現金之間進行雙向交易,使用者可以支付帳號(或將儲存於其他位置的比特幣匯入)中的比特幣兌換現金,也能將現金放入機器並兌換為比特幣存入帳號,或將購買的比特幣地址列印出來,並在服務過程中收取手續費或透過匯差營利。
比特幣ATM與一般ATM最大的不同,在於比特幣ATM並不會與銀行的網路互相連接,而是連接到比特幣的交易所或區塊鍊,所以它的概念其實比較接近販賣機的性質。
一般ATM因為內部裝有大量現金,因此成為數位犯罪的熱門目標之一,手法包括偽造提款卡或是透過惡意程式讓ATM自動吐鈔等等,例如先前的第一銀行ATM盜領案即為一例。然而比特幣ATM的數位犯罪比較少被提到,或許不是因為它比較安全或是無利可圖,而是因為它的數量遠少於一般ATM,因此比較不容易成為大眾注目的焦點。
可直接盜領現金
不同於一般ATM,比特幣ATM並沒有統一的安全規範或認證,也沒有通用的提款卡。舉例來說,當使用者在操作比特幣ATM時,可能需要利用手機門號或身份證件進行身份確認,然後透過鍵盤或QR Code輸入比特幣錢包地址,才能進行後續提領或存款等動作。
然而這些認證過程的可靠度不一定能達到防止盜領的效果,過程中如果透過相關App管理比特幣錢包,也多一層App資安疑慮(並不是所有App開發者都能提供無完安的安全機制),這些問題對於數位犯罪者來說都是好消息。
當Fernando Mercês在地下論壇尋找相關資訊時,發現了有人在討論比特幣ATM惡意程式,進一步挖掘之後發現惡意程式是款販售中的「商業軟體」。買家除了會得到惡意程式之外,還會收到1張相容於EMV與NFC的晶片智慧卡,能夠讓買家觸發比特幣ATM漏洞,並提領高達6,750元的美金、歐元或英鎊(約合新台幣208,440元至273,915元不等)等不同幣值現金。
而這款惡意程式的價格並不便宜,它要價美金25,000元(約合新台幣772,000元),開發者還很「貼心」地提供全年無休的售後服務,而從下方有超過100則商品評價來推斷,應該讓開發者賺到不少錢,此外Fernando Mercês也發現該名開發者也有販售一般ATM與其他金融相關惡意程式。
Fernando Mercês表示數位犯罪的手法從竊取電腦資源偷偷挖礦,到直接對比特幣ATM下手來看,不難發現犯罪者對加密貨幣情有獨鍾(其原因不外乎是銷贓簡單),而犯罪者也會持續開發有利可圖的新市場,因此在未來比特幣ATM越來越普及之後,這種惡意程式恐怕會越來越多。
加入電腦王Facebook粉絲團