黑客入侵ATM机的4种方法

铸剑网络安全计算机与网络安全 2022-06-01

信息安全公益宣传，信息安全知识启蒙。

加微信群回复公众号：微信群；QQ群：16004488

方法1：假冒处理中心

这一方法需要攻击者能接近ATM机联网的网线。黑客首先需断开ATM机与银行网络的连接，随后将ATM机网线连到假冒处理中心的装置上。

该装置被用来控制钞箱和向ATM机发送命令，进而要求所选的钞箱吐钞。方法其实很简单：攻击者使用任意一张银行卡或输入任何PIN码就能成功完成交易，且看上去完全正当合法。

方法2：远程攻击多台ATM机

这一方法需要在目标银行有内应。犯罪分子首先从银行内部人员手中购买能打开ATM底盘的钥匙。钥匙并不能让攻击者直接打开钞箱，却能露出网线。黑客拔出ATM机连接银行网络的网线，随后插入特殊装置并发送所有数据至他们自己的服务器。

通常连接ATM机的网络并非分段（为安全起见），同时ATM机本身也可能存在配置不当的问题。上述情况中，黑客完全可以利用一台恶意装置同时操控多台ATM机，就算只连接了其中一台ATM机也能实现多台联动。

剩下的工作就好比方法1中所描述：通过安装在服务器上的伪造处理中心，攻击者就能完全控制ATM机。无论ATM机是什么型号，犯罪分子只需任意一张银行卡就将ATM机内的钞票全部取出。而ATM机唯一需要一致的就是连接处理中心所使用的协议。

方法3：黑盒子攻击

如上所述，攻击者获得了能打开ATM底盘的钥匙，但这次则需要将机器调成维护模式。随后，黑客将一个所谓的黑盒子插入露在外面的USB端口。这里的黑盒子其实是一台能让攻击者控制ATM机钞箱的特殊装置。

在攻击者篡改ATM机的同时，其屏幕却显示类似”正在维护”或”暂停服务”的消息，但实际是ATM仍能吐钞。此外，黑盒子还能通过智能手机进行无线控制。黑客只需在屏幕上点击一个按钮就能吐钞，然后利用黑盒子隐藏ATM机遭篡改的证据。

方法4：恶意软件攻击

利用恶意软件感染目标ATM机的方法有两种：将含恶意软件的U盘插入端口（要求有ATM底盘的钥匙）或远程感染机器，但前提是首先感染银行网络。

一旦ATM机未对恶意软件有所防范或未使用白名单，黑客就能运行恶意软件向ATM机发送命令吐钞，反复攻击直至所有钞箱均清空为止。

当然，并非所有ATM机都易遭受黑客入侵。只有某些地方存在配置错误，上述攻击才可行。比如：银行网络未分段；ATM机软件与硬件交换数据时无需认证；没有针对应用程序的白名单；或者网线容易接触到等等。

可惜的是，这些问题都普遍存在。例如，攻击者完全可以利用Tyupkin木马病毒感染大量ATM机。卡巴斯基实验室的专家们时刻准备帮助银行修复这些漏洞：我们不仅提供这方面的咨询服务，还能审查和测试银行的基础设施以抵御各种攻击。

▼ 点击阅读原文，查看更多精彩文章。