调研丨世界各地的大部分ATM都可以在30分钟内被黑客攻击

2018-12-06 92131人围观 ,发现 3 个不明物体 安全报告

近期的一项研究表明,全球范围内绝大多数的ATM自助提款机都存在安全隐患,攻击者可在30分钟之内成功入侵这些ATM机并直接提现。

1.png

现在,很多网络犯罪分子为了从ATM机中窃取现金,他们会尝试各种各样复杂的网络攻击方式(例如物理访问或远程访问等等)来入侵银行的网络系统。

前不久就发生过一次针对ATM机的攻击事件,在此次事件中,攻击者使用了一种新型的SMS短信钓鱼攻击技术来诱使目标用户在钓鱼网站中交出了他们的银行账号凭证,在拿到用户账号凭证之后,攻击者就可以直接从支持无卡取现的ATM机上直接提款了。

美国特勤处还警告称,除了上述攻击技术之外,现在还有一种新型的ATM机攻击技术,这种技术的攻击代号为“Wiretapping”,主要针对的是各大银行金融机构。在攻击过程中,攻击者会在ATM机上打一个小孔,然后直接从ATM机的内置读卡器中直接窃取用户数据。

除此之外,攻击者还会尝试像ATM机系统注入类似Alice、Ripper、Radpin和Ploutus这样的ATM机恶意软件,而且这些恶意软件都可以直接在暗网市场上直接获取到。

PT Security的研究人员对目前全球市场上的26款不同型号的ATM机进行了深入的安全分析测试,并根据以下四类安全问题对这些ATM机进行了安全性归类:

1、 网络安全保护不足;

2、 周边基础设施安全防护不足;

3、 系统或设备存在不正确配置;

4、 应用程序控件存在漏洞或不正确的配置;

为了成功入侵ATM机网络,攻击者需要向银行网络系统注入伪造流量,并直接攻击网络设备。

ATM机入侵攻击场景

攻击者在攻击ATM并成功提现时,主要利用的安全缺陷有两类。第一种是直接从ATM机上取钱,第二种是当用户在ATM机上取现时,通过复制卡片数据来窃取用户的支付卡信息。

网络攻击

一开始,网络攻击是远程入侵银行网络系统最常用的方式,而这些银行系统会和ATM机连网。在这种攻击场景下,攻击者只需要大约15分钟的时间,就能够通过物理访问或远程访问的形式入侵ATM机网络,而且当前市面上85%的ATM机都会受到这种攻击方式的影响。

2.png

伪装数据处理中心,实现欺骗攻击

在这种攻击场景下,如果ATM机和支付数据处理中心之间的网络链路存在安全风险的话,攻击者将能够修改用户的交易数据以及交易确认过程。当ATM机向交易处理中心发送交易信息时,攻击者将能够以中间人的形式修改用户请求。

3.png

这种情况适用于ATM机与交易处理中心之间的通信数据没有进行加密或VPN保护设置不当的场景,如果在进行交易请求和响应的过程中没有使用消息验证码的话,攻击的成功率将会更高。据统计,目前全球市场上有27%的ATM设备无法抵御这种攻击。

利用网络服务漏洞

攻击者可以通过在目标网络中执行远程代码来利用系统中存在的网络服务漏洞,如果能够成功入侵,攻击者将能够关闭银行网络系统的安全防护系统,这样不仅能够关闭安全警报,而且还可以防止银行修复ATM设备的安全漏洞。

这种攻击场景大部分针对的是没有正确部署防火墙系统、使用过期软件或安全系统存在错误配置的银行机构,目前全球市场上有58%的ATM设备将会受到这种攻击方式的影响。

4.png

入侵网络设备

ATM机要与交易中心通信,就必须要有网络设备的接入,如果攻击者能够入侵这些网络设备的话,他们就能够拿到ATM机的完整控制权,并通过远程命令执行来在目标ATM机上提现。根据研究数据,目前全球市场上有23%的ATM设备将会受到这种攻击方式的影响。

5.png

物理访问ATM机机柜

在这种攻击场景中,网络犯罪分子会直接在ATM机上钻孔,并访问到设备链路电缆,此时他们就可以拿线路接入自己的攻击设备,并通过发送命令来提现。。令人震惊的是,目前市场上有63%的ATM机无法抵御这种攻击。

6.png

连接硬盘

除了上述攻击方式之外,攻击者为了获取到ATM机的完整控制权,他们会尝试绕过安全防护系统并连接ATM的硬盘,如果硬盘驱动器没有加密,那么攻击者就可以直接植入恶意软件,并实现取款。除此之爱,攻击者还可以从硬盘中提取敏感文件,并将其用于后续攻击活动中。在所有参与测试的ATM设备里,有92%的设备会受到这种攻击的影响。

*参考来源:gbhackers,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

这些评论亮了

  • 吞龙 (1级) 回复
    本曾经从事过ATM生产制造及运维,接触过国内外多个品牌和型号的ATM,也写过关于ATM安全的手册,结合国内实际情况来看,本文所说的ATM安全威胁多数对国内不是那么明显的。
    首先来说下网络,国内ATM基本是走银行专网,而且和银行的业务网是隔离的,任何外部网络难以接入,从外部发起攻击的可能性基本不存在;曾经也有一些运营商,采用的是2G无线路由通讯,而且交易数据没有加密,不过现在基本都淘汰了;早期的银行ATM还有使用长端传输器的,现在估计这种设备都没人听过了;
    从网络层面来说,ATM的网络安全等级和银行业务网是同等级别。
    其次,交易数据是加密的,国内银行业采用的加密标准是3DES加密,通过截取篡改网络封包的肯能行微乎其微,除非时间机器带你回到90年代,那时候采用的是明文方式传递数据;
    顺反驳本文中提到的伪造数据中心的论点,数据中心就是通俗意义上的后台,笔者可能不太了解国内银行ATM网络的架构和安全机制,实际上,国内银行的ATM规范要求,ATM和后台通讯,是双向鉴权的,ATM上要向后台申请权限,才可以正常服务,而后台必须和ATM交换密钥、ATMID、柜员号等,才能确认是否为网内设备,这就是ATM的签到流程。从理论上说,通过伪造数据中心方式实施攻击,基本不可能。
    接下来是硬件层面的威胁,国内市面上能见到的ATM,不会把USB,键盘等接口暴露在外部,这是由人民银行等机构制定的规范,在采购这个环节就淘汰了暴露接口的设备,大堂机亦是如此,通过物理方式隔离了暴露接口;仅有少数成本低廉的机型,在硬件保护上存在缺陷,可以通过暴力方式开启机盖,接入USB或键盘等外设,以韩国某品牌ATM为代表;
    还有另一层威胁,是本文没有提到的,就是ATM自身带有诊断测试程序,如果能调用成功,可以完成吐钞测试、复制磁条卡,获取电子日志等行为,部分厂家对调用这些功能一般也有措施,比如设置操作员密码,或者使用key盘等,但是并不能完全规避风险,比如默认密码和认证跳过(key盘复制);
    最后要说的是,ATM也是有操作系统的,我见证了这个交替过程,ATM由最早的DOS,到后期的winnt,win2000,winxp,wince等..........操作系统的漏洞一样存在于ATM上,笔者曾验证过某型号采用触摸屏和win7的ATM,成功通过粘滞键漏洞进入管理员界面,还能调用到诊断程序,这就是通常所指的沙箱跳出。由于ATM所处网络环境的原因,系统升级仅能依赖手动逐台操作,漏洞存在周期较长,甚至有的银行没有建立相应的漏洞管理流程。
    就个人经验总结的话,ATM的主要威胁来自于内部,内部的威胁主要是病毒木马,以及管理制度和后台。
    )6( 亮了
发表评论

已有 3 条评论

  • 吞龙  (1级)  2018-12-07 回复 2楼

    本曾经从事过ATM生产制造及运维,接触过国内外多个品牌和型号的ATM,也写过关于ATM安全的手册,结合国内实际情况来看,本文所说的ATM安全威胁多数对国内不是那么明显的。
    首先来说下网络,国内ATM基本是走银行专网,而且和银行的业务网是隔离的,任何外部网络难以接入,从外部发起攻击的可能性基本不存在;曾经也有一些运营商,采用的是2G无线路由通讯,而且交易数据没有加密,不过现在基本都淘汰了;早期的银行ATM还有使用长端传输器的,现在估计这种设备都没人听过了;
    从网络层面来说,ATM的网络安全等级和银行业务网是同等级别。
    其次,交易数据是加密的,国内银行业采用的加密标准是3DES加密,通过截取篡改网络封包的肯能行微乎其微,除非时间机器带你回到90年代,那时候采用的是明文方式传递数据;
    顺反驳本文中提到的伪造数据中心的论点,数据中心就是通俗意义上的后台,笔者可能不太了解国内银行ATM网络的架构和安全机制,实际上,国内银行的ATM规范要求,ATM和后台通讯,是双向鉴权的,ATM上要向后台申请权限,才可以正常服务,而后台必须和ATM交换密钥、ATMID、柜员号等,才能确认是否为网内设备,这就是ATM的签到流程。从理论上说,通过伪造数据中心方式实施攻击,基本不可能。
    接下来是硬件层面的威胁,国内市面上能见到的ATM,不会把USB,键盘等接口暴露在外部,这是由人民银行等机构制定的规范,在采购这个环节就淘汰了暴露接口的设备,大堂机亦是如此,通过物理方式隔离了暴露接口;仅有少数成本低廉的机型,在硬件保护上存在缺陷,可以通过暴力方式开启机盖,接入USB或键盘等外设,以韩国某品牌ATM为代表;
    还有另一层威胁,是本文没有提到的,就是ATM自身带有诊断测试程序,如果能调用成功,可以完成吐钞测试、复制磁条卡,获取电子日志等行为,部分厂家对调用这些功能一般也有措施,比如设置操作员密码,或者使用key盘等,但是并不能完全规避风险,比如默认密码和认证跳过(key盘复制);
    最后要说的是,ATM也是有操作系统的,我见证了这个交替过程,ATM由最早的DOS,到后期的winnt,win2000,winxp,wince等……….操作系统的漏洞一样存在于ATM上,笔者曾验证过某型号采用触摸屏和win7的ATM,成功通过粘滞键漏洞进入管理员界面,还能调用到诊断程序,这就是通常所指的沙箱跳出。由于ATM所处网络环境的原因,系统升级仅能依赖手动逐台操作,漏洞存在周期较长,甚至有的银行没有建立相应的漏洞管理流程。
    就个人经验总结的话,ATM的主要威胁来自于内部,内部的威胁主要是病毒木马,以及管理制度和后台。

取消
Loading...
css.php