恶棍们获得了专有的迪博尔德软件,用来“中奖”自动取款机。

2020-07-21 06:06:04

迪博尔德·尼斯多夫去年的自动取款机销售和服务销售额为33亿美元,该公司警告商店、银行和其他客户注意一种新的基于硬件的“积压”形式,这是一个行业术语,指的是窃贼用来快速清空自动取款机的攻击。

新的变种使用的设备运行该公司专有软件堆栈的一部分。然后,攻击者将该设备连接到自动柜员机内部,并发出命令。成功的攻击可能会导致现金流,有时分发速度高达每23秒40张钞票。这些设备可以通过获取打开自动柜员机机箱的钥匙,或者通过钻孔或以其他方式打破物理锁来访问机器内部来连接。

在之前的积压攻击中,附加的设备,在行业中被称为黑匣子,通常会调用自动取款机操作系统中包含的编程接口,以漏斗最终到达分发现金的硬件组件的命令。最近,迪博尔德·尼克斯多夫观察到了一系列黑匣子攻击,这些攻击整合了该公司的部分专有软件。

迪博尔德·尼克斯多夫(DieboldNixdorf)在上周发布的一份主动安全警报中警告称:“一些成功的攻击显示了一种新的、经过调整的攻击操作方式。”该警报由一名公司代表提供给ARS。“虽然诈骗犯仍在连接外部设备,但在我们现阶段的调查中,该设备似乎还包含被攻击自动柜员机的部分软件堆栈。”

一般来说,头奖是指一类旨在从自动取款机非法发放现金的攻击。累积奖金的黑盒变体不利用自动取款机的软件堆栈来从终端分发钱。取而代之的是,诈骗者将他自己的设备“黑匣子”连接到自动售货机,并将通信目标直接指向现金处理设备。

在最近的事件中,袭击者将重点放在户外系统上,并摧毁了部分筋膜,以获得进入头部隔间的物理通道。接下来,拔下CMD-V4分配器和特殊电子设备之间的USB电缆,或特殊电子设备和ATM PC之间的电缆。此电缆连接到攻击者的黑匣子,以便发送非法分发命令。

某些事件表明黑匣子包含被攻击自动柜员机的软件堆栈的各个部分。对这些零件是如何被诈骗者获得的调查正在进行中。一种可能是通过对未加密硬盘的离线攻击。

越来越多的攻击针对该公司的ProCash系列终端,特别是ProCash 2050xs USB型号。该咨询称,正在进行的攻击发生在“某些欧洲国家”。

自动取款机安全专家布鲁诺·奥利维拉(Bruno Oliveira)表示,他听说过早期形式的黑匣子攻击。所连接的设备操作包括在诸如XFS或CFS之类的OS扩展中的API,这些扩展与金融机构操作的远程服务器通信。Oliveira说,模仿ATM机内部PC的黑匣子既可以是笔记本电脑,也可以是相当容易制造的Raspberry或Arduino硬件。黑匣子是迪博尔德·尼克斯多夫在这里描述的四种头彩技术之一。

在某些情况下,连接的设备直接连接到自动取款机,并发出命令让它吐出现金。另一种形式的黑匣子攻击插入网线,并在自动柜员机和处理会话的交易中心之间来回中继时记录持卡人信息。然后,连接的设备改变授权的最大取款量或伪装成主机系统,以允许自动取款机分配大笔资金。

上面链接的头彩宣传册描述了另外两种类型的攻击。第一个漏洞将合法硬盘与攻击者创建的硬盘互换。另一种是对银行员工进行网络钓鱼攻击。一旦攻击者获得了进入金融机构网络的权限,他们就会发出命令,用恶意软件感染自动取款机,这些恶意软件可以用来清理机器。

迪博尔德描述的新攻击变体对消费者来说既是好消息,也是坏消息。一方面,没有迹象表明窃贼正在使用他们最近获得的软件栈来窃取信用卡数据。坏消息是,攻击者似乎拿到了使攻击更有效的专有软件。最近中奖成功的增加最终导致了更高的费用,因为金融机构会将损失造成的成本转嫁出去。迪博尔德发布了各种防御措施,自动取款机所有者可以采取这些措施来防御攻击。

自动取款机用户在防止大奖方面几乎无能为力。尽管如此,重要的是只使用属于大银行的自动取款机,避免使用那些来自夫妻店的自动取款机。在输入个人识别码时屏蔽键盘也是一个好主意,并且每月检查银行对帐单,以查找任何未经授权的交易。