关于ATM攻击和欺诈您需要知道的一切:第2部分

这是关于自动柜员机(ATM)攻击和欺诈的两部分系列文章的第2部分，也是最后一部分。

在第1部分，我们找出了atm机易受攻击的原因——从其框架的固有弱点到其软件——并深入研究了针对atm机的四种攻击中的两种:终端篡改和物理攻击。

终端篡改具有许多类型，但它涉及物理操纵ATM的组件或作为欺诈性方案的一部分将其他设备引入其。另一方面，物理攻击导致机器位于ATM和建筑物或周围区域的破坏。

我们还为用户提供了使用前、使用中和使用后的指导方针，这将有助于确保他们在使用ATM机时的安全。

在第2部分中，我们将重点讨论最后两种类型的攻击:逻辑攻击和使用社会工程学．

逻辑ATM攻击

由于自动柜员机本质上是计算机，诈骗者可以并且确实使用软件作为协调行动的一部分，进入自动柜员机的计算机及其组件或其金融机构(FI)网络。他们这样做，首先是为了获得现金;其次，从机器本身和条或芯片卡检索敏感数据;最后，拦截数据，他们可以用来进行欺诈交易。

输入逻辑攻击-一个术语的同义词大奖或ATM现金不足的攻击．逻辑攻击涉及使用恶意软件或另一个名为黑匣子的电子设备的ATM系统的开发和操作。一旦网络犯罪分子获得了系统的控制，他们将它引导至基本上被喷出的现金，直到安全的空洞就像它是一台老虎机一样。

在较老的安全研究员之后，“Jackpotting”的概念成为主流的安全研究员巴纳比杰克发表并演示了他在这个课题上的研究黑色帽子安全会议于2010年．从那时起，许多人预计自动取款机的头奖将成为一个现实世界的问题。事实上，它已经这样做了——以逻辑攻击的形式。

为了使逻辑攻击成功，需要访问ATM。一种简单的方法是使用钻头等工具在外壳上开一个口，这样罪犯就可以引入另一种硬件(例如u盘)来运送有效载荷。一些工具还可以用来找出ATM机框架或外壳中的脆弱点，比如内窥镜，这是一种带有微型摄像头的医疗设备，用于探测人体内部。

如果您认为逻辑攻击对于平均网络犯罪分子太复杂，请再次思考。为了大量的价格，任何有现金到备用的人都可以访问暗网论坛和购买ATM恶意软件，便于如何达指示。因为较少的竞争力的ATM欺诈者可以使用专业人士创建和使用的恶意软件，所以两个模糊之间的区别。

逻辑攻击类型

迄今为止，欺诈者可以进行两类逻辑攻击:基于恶意软件的攻击和黑盒攻击。

Malware-based攻击。顾名思义，这种攻击可以使用几种不同类型的恶意软件，包括普鲁图，anunak / carbanak，炸肉排制造商和本来，我们将在下面的档案。他们如何在ATM的电脑上或网络上结束，这是我们应该熟悉自己的事情。

安装在ATM的PC：

• 通过u盘。犯罪分子将带有恶意软件的u盘装入，然后将其插入ATM机的USB端口。该端口要么暴露在公众面前，要么在一个面板后面，人们可以很容易地移除或打个洞。由于这些ATM帧不够坚固，也不够安全，以对抗这种类型的物理篡改，通过USB和外置硬盘驱动器的感染将始终是一个有效的攻击载体。在2014年的一篇文章中，《安全周刊》报道ATM欺诈成功使用Malware-Laden USB驱动器．
• 通过外部硬盘或CD / DVD驱动器。策略与USB棒类似，但外部硬盘驱动器或可启动光盘。
• 通过感染ATM机自己的硬盘。骗子们要么断开ATM机的硬盘，用一个受感染的硬盘替换它，要么从ATM机上取出硬盘，用木马病毒感染它，然后重新插入。

在自动柜员机的网络上安装:

• 通过一个内幕。欺诈者可以胁迫或与心怀恶意的银行员工合作，让他们为自己做这些肮脏的工作。内部人士可以从现金中分一杯羹。
• 通过社会工程。欺诈者可以使用鱼叉式网络钓鱼针对银行的某些员工，让他们打开恶意附件。恶意软件一旦被执行，就会感染整个金融机构的网络及其终端，包括自动取款机。然后自动取款机就变成了一个从属机器。攻击者可以直接向从机发送指令，让它发钱，让钱骡来收钱。
  
  请注意，由于犯罪分子已经在FI网络内，赚钱的新机会打开了它的门：现在他们现在可以闯入敏感的数据位置，以窃取他们可以进一步滥用或销售在地下市场的信息和/或专有数据。

通过安装中间人(MiTM)策略：

• 通过假更新。恶意软件可以通过Bogus Software更新引入ATM系统，如Benjamin Kunz-Mejri，漏洞实验室所解释的（违反事故）在德国的ATMS在软件更新过程中公开显示敏感系统信息的情况下，CEO Kunz-Mejri，CEO和创始人。在一次采访中， Kunz-Mejri说，诈骗者可能会利用这些信息执行MiTM攻击，进入当地银行的网络，运行恶意软件，看起来像是合法的软件更新，然后控制受感染的ATM机。

黑匣子攻击。黑匣子是电子设备 - 其他电脑，手机，平板电脑甚至连接到USB线的修改电路板-在诈骗者的要求下发出自动取款机指令。这种物理上切断自动提款机和ATM电脑的连接以连接黑盒的行为，可以避开攻击者使用卡或获得授权确认交易的需要。场外零售atm机很可能是这次攻击的目标。

黑色盒子攻击可能涉及社会工程策略，如装扮成ATM技术人员，在威胁演员与ATM身体上篡改时，可以消除怀疑。有时，欺诈者使用内窥镜，一种用于探测人体的医疗工具，定位和断开自动取电器计算机的收银机的电线并将其连接到黑匣子。然后，该设备向分配器发出命令以推出金钱。

由于这种类型的攻击不使用恶意软件，黑盒攻击通常不会留下什么证据——当然，除非欺诈者留下了他们使用的硬件。

专家们观察到，随着黑盒攻击报告的减少，恶意软件攻击atm机的情况正在增加。

ATM恶意软件的家庭

如第1部分所述，有超过20个已知的ATM恶意软件。我们已经探讨了四个队伍，让读者概述为ATM攻击开发的恶意软件系列的多样性。如果您想要了解更多信息，我们还包括您可以阅读的外部参考的链接。

Ploutus。这是2013年首次检测到的ATM后门的恶意软件系列。普鲁图斯专门设计用于强迫ATM分配现金，而不是窃取卡持有人信息。通过将受感染的启动盘插入其CD-ROM驱动器，将早期变体引入ATM计算机。还使用外部键盘，因为恶意软件响应通过按特定功能键（键盘上的F1至F12键）执行的命令。较新版本也使用移动电话，持久，目标是最常见的ATM操作系统，可以调整为使它们提供供应商 - 不可知论由。

Daniel Regalado, Zingbox的首席安全研究员，在博客帖子中注明一种被称为Piolin的改良穴位变体用于北美的第一个ATM倒车犯罪中，而这些攻击背后的演员不是拉丁美洲的倒车事件背后的同行事。

在Ploutus引用:

• 罪犯中了自动取款机的头彩(来源:赛门铁克)
• 在拉丁美洲的野外观察到的普鲁图atm恶魔软件的新变种（来源：Fireeye）

anunak / carbanak。在影响乌克兰和俄罗斯银行的野外，首先遇到这种高级持久性恶意软件。这是一个基于Carberp的后门，是一个已知的信息窃取木马。然而，Carbanak旨在虹吸数据，执行间谍活动和远程控制系统。

它到达金融机构网络作为矛盾的电子邮件。一旦进入网络，它会查找感兴趣的终点，例如属于管理员和银行职员的终点。由于Carbanak活动背后的APT演员没有先验知识的目标系统如何运作，他们偷偷摸摸地记录管理员或职员如何使用它。获得的知识可以用来将钱从银行搬出刑事账户。

关于Anunak / Carbanak的参考：

• Anunak: APT针对金融机构[PDF]（来源：Group-IB和IT）
• 伟大的银行抢劫：马来斯巴达公寓（来源：卡巴斯基）

钢筋制造商。这是在地下黑客论坛中销售的几个ATM恶意软件家庭之一。它实际上是一个由（1）恶意软件文件本身组成的套件，它被命名为Cutlet Maker;（2）C0Decalc，这是一个密码生成工具，犯罪分子用于解锁炸肉排制造商;（3）刺激器，另一个良性工具旨在显示有关目标ATM现金盒的信息，例如货币类型，票据的值以及每个盒式磁带的音符数量。

炸肉排制造商的参考：

• 暗网市场正在出售ATM恶意软件（来源：Securelist）

su。成功被誉为首个多供应商ATM恶意软件，其设计目的是捕获受感染ATM卡槽中的银行卡，读取卡的磁条和/或芯片数据，并使ATM传感器失效，以防止立即检测到。

关于申请的参考：

• 成功:下一代ATM恶意软件（来源：Fireeye）

---

社会工程

通过损害atm机的弱点(无论它们是在表面还是内部)来直接瞄准它们，并不是诈骗者轻松获取现金的唯一有效方法。他们还可以利用使用自动取款机的人。这是用户社会化设计的方式把辛苦挣来的钱交给罪犯，而且往往是在不知情的情况下。

欺骗老人。这已成为日本的一种趋势．骗子冒充需要紧急资金的亲属或收取费用的政府官员，以老年受害者为目标。然后，他们通过提供如何通过自动取款机转账的指导来“帮助”他们。

援助欺诈。在过去的某个时候，在ATM机的队列中，可能有一位好心的陌生人向某人伸出了援助之手。诈骗者使用这种策略，以便记住目标的卡号和密码，然后利用这些密码发起非法资金交易。

这种攻击的目标也可能是老年人，以及困惑的新用户，他们可能是首次使用ATM卡的人。

肩膀上冲浪。这是使用ATM的键盘打入PIN码时被某人观看的行为。被盗的PIN码对于肩部冲浪者特别方便，特别是如果他们的目标在缺席其现金后遇到注意地离开该地区，但尚未完全完成会议。一些ATM用户在甚至在询问他们是否有另一个交易时甚至可以回答机器。在提示消失之前，欺诈者进入被盗PIN以继续会话。

窃听。和前一点一样，窃听的目的是窃取目标的PIN码。这是通过听和记忆当有人在交易过程中输入密码时ATM键发出的声音来实现的。

分心欺诈。几年前，这种策略席卷了英国。这种情况如下：一个不知不觉的ATM用户被掏钱的掉落在他/她身后的硬币的声音分散注意到。他或她转身帮助那些掉下硬币的人，不知道别人已经偷走了ATM刚刚喷出或将假卡交换给他真实的那款。ATM用户回顾终端，内容一切看起来正常，然后继续。另一方面，他们帮助的人被盗了被盗卡或告诉他们的盗窃卡的PIN，当他们的目标在故意丢弃硬币之前，他/她记住了他/她。

继续警惕ATM用户和制造商

恶意软件活动、黑盒攻击和社会工程都是ATM制造商和他们的金融机构正在积极解决的问题。然而，这并不意味着ATM用户应该放松警惕。

请记住，当使用ATM时，我们在上面概述的社会工程策略，并且不要忘记使用您与之交互的机器来保护“OFF”。虽然用户可以判断信息窃取器是否已经损害了她的ATM（直到她在后面的交易记录中看到的差异），但有一些可以物理捕捉卡的恶意软件类型。

如果发生这种情况，不要离开自动提款机。相反，记录与所发生事情相关的每一个细节，比如捕获时间、使用的ATM分支，以及在意识到卡不会弹出之前进行的哪些交易。给周围的环境、自动取款机拍照，并偷拍任何可能在附近徘徊的人。最后，打电话给你的银行和/或发卡机构报告事件并要求终止信用卡。

我们也想指出你本系列的第1部分在这里，我们还提供了一个有用的参考指南，告诉你在去ATM出入口之前要注意什么。

一如既往，注意安全!