傳統手法以現場植入惡意程式為主
該報名中提到,透過惡意程式攻擊ATM的歷史可追溯至2009年,由於者種手法能夠快速取得金錢,因此成為許多網路犯罪集團的作案手法之一,早期攻擊者還需要親自在ATM前是植入惡意程式,到後來也逐漸發展成透過網路從遠端發動攻擊的方式進行。
由於現今的ATM不像過去採用特殊規格電腦組成,而因成本考量、軟體支援度、互通性等因素,逐漸改採一般架構的電腦,並搭配Windows作業系統,讓攻擊者有機可乘。
更糟的是,目前仍有許多ATM還是搭載Windows XP、Windows XP Embedded甚至更舊的作業系統,而Microsoft在2014年就停止對Windows XP的更新支援,Windows XP Embedded的延長支援也在2016年停止,讓這些ATM早已無法接收安全更新,而曝露於資安風險之下。
由於ATM的機身大多具有防盜裝置,一般人不容易接觸到內部電腦,需要設法打開機殼才能對電腦動手腳,雖然過去曾發生透過金融卡磁條感染ATM的案例,但那畢竟是特殊個案。
但是當攻擊者打開ATM機殼後,就能將外接裝置接上電腦,如此一來就能透過USB隨身諜或CD、DVD光碟植入惡意程式。
還可從網路遙控作案
一般來說ATM不會直接使用網際網路連線,而是透過VPN(Virtual Private Network,虛擬私人網路),搭配SNA over SDLC、TC500 over Async、X.25、TCP/ IP over Ethernet 1等低階網路通訊協定連回銀行,除了交易訊息會以AES或3DES加密保護之外,跨行網路間的通訊也可能以SSL加密。
不過如果攻擊者能透過釣魚郵件或其它方式侵入銀行內部網路,就可以在內部找尋ATM所在的子網路,進而從遠端植入惡意程式,第一商業銀行盜領案就屬於這種類型。
由於目前搭載Windows作業系統的ATM,通常都會採用XFS(eXtensions for Financial Services,金融服務延伸功能)中介軟體,它負責ATM硬體與金融服務軟體的溝通,並可控制ATM的數字鍵盤、吐鈔機、收據列印機等周邊裝置。所以無論攻擊者用什麼方式植入惡意程式,一旦取得XFS的控制權之後,就可以命令ATM吐鈔,達到盜領現金的目的。
該報告也在最後提出建議,單純將ATM的網路隔離已經不足以阻止盜領,金融機構應採取更多安全措施保障ATM的安全,執法機關也應多加防範這種作案方式,才能避免盜領事件再次發生。
加入電腦王Facebook粉絲團延續閱讀:
《利用 ATM 惡意程式大發利市 完整剖析各種攻擊型態》完整報告書(PDF)