ATM吐钞捞金快 黑客盯上美国

1月30日讯 全球最大的两家ATM制造商Diebold Nixdorf（迪堡多富）和NCR发出警告称，网络犯罪分子正利用“jackpotting”的黑客手法瞄准美国的ATM机，使其吐钞。

jackpotting攻击方式起源
根据安全博客Krebs on Security的解释，ATM“jackpotting”指的是一种犯罪方式：窃贼在ATM机上安装恶意软件和硬件迫使其按需大量吐钞。此前欧洲、亚洲的银行就曾面临这一威胁，如今黑客盯上了美国的ATM机。为了实施“jackpotting”攻击，窃贼首先必须对ATM机进行物理访问，此后利用恶意软件或专用电子设备（通常会将两者结合使用）控制ATM机的操作。



“jackpotting”是由知名白帽子黑客巴纳比·杰克发明的一种技术。

2010年，杰克在美国黑帽子（Black Hat）大会上第一次公开演示了如何使两台ATM机凭空吐钞，并给该技术命名为“jackpotting”，掀起了业界甚至公众对于ATM安全的关注，他也凭借该技术在美国黑客界声名鹊起。

2013年，杰克还计划在当年8月的黑帽子（Black Hat）大会上演示如何入侵心脏除颤器和心脏起搏器。他已研究出一种方法，可以在距离目标50英尺的范围内侵入心脏起搏器，并让起搏器释放出足以致人死亡的830V电压。

不幸的是，杰克于2013年在家中去世。近年来，“jackpotting”的攻击手法日益猖獗蔓延至全球。据外媒近日报道，黑客2017年已开始在墨西哥发动此类攻击。

据路透社报道，Diebold Nixdorf和NCR这两家ATM制造商也表示已向客户发出警告，但未披露受害者，也未透露损失的具体金额。目前尚不清楚具体有多少资金被盗，因为受害者和警方通常不会披露细节。

jackpotting攻击如何实施？
NCR发出警告称，这是美国首批已证实的因jackpotting遭遇损失的案例。但NCR表示，近期这波攻击未影响自己的设备，但让整个ATM行业提心吊胆。所有ATM部署者应采取适当的措施防范ATM机遭到此类攻击。

利用恶意软件Ploutus.D
NCR并未提及攻击美国ATM机的jackpotting恶意软件类型。但据一位消息人士透露，美国特勤局警告称，有组织的犯罪团伙使用“Ploutus.D（2013年首次发现的高级jackpotting恶意软件）”攻击美国的ATM机。

FireEye表示，对恶意软件Ploutus代码稍作改变就可能对80个国家的40个不同的ATM供应商发起攻击。FireEye的研究人员丹尼尔·雷加拉多曾写道，Ploutus可使网络犯罪分子使用外接键盘和通过短信清空ATM机。到目前为止，Ploutus攻击要求窃贼以某种方式获得ATM机的物理访问权，例如：

撬锁；

使用窃取来的主密钥；

移除或破坏ATM的部件。

雷加拉多指出，犯罪团伙通常会派“钱骡”执行高风险的任务，例如安装恶意电子硬件设备或物理干预ATM机。至此，攻击者便能将键盘连接到ATM机，利用团伙头目提供的激活码盗走ATM机的资金。一旦部署到ATM机，恶意软件Ploutus将帮助犯罪分子分分钟盗走数千美元。“钱骡”可能被摄像头拍摄下来，但其操作速度太快，被拍下及被发现的可能性很小。



美国特勤局（USSS）向银行发出的机密警告指出，称黑客正瞄准ATM制造商Diebold Nixdorf几年前已停产的机型Opteva，这些黑客锁定的是位于药房，大型零售商以及得来速（drive-thru）汽车餐厅的ATM机。2017年7月E安全曾报道，美国西雅图网络安全公司IOActive发布重要安全公告，详述了迪堡Opteva ATM机中存在物理与认证绕过问题，利用这些漏洞可能会让未经授权的攻击者从ATM设备中提取现金。

ATM吐钞捞金热潮
俄罗斯网络安全公司Group IB曾指出，2016年时，网络犯罪分子十几个欧洲国家的ATM机发起了远程攻击。同年，日本、泰国以及中国台湾地区也遭受了类似攻击。

2016年春天，犯罪组织仅用3小时就从日本ATM机盗走1300万美元（约合人民币8306万元）。

2016年夏天，台湾地区第一银行的ATM机也遭受了重大损失，该银行随即停用1000多台ATM机的提现服务，这起事件致使该地区损失逾200万美元（当时约1400万元）。警方逮捕了3名外籍嫌犯，并追回大部分赃款。