远程多台 ATM 吐钞大解密，黑客从个人转向攻击银行盗取金钱

半导体行业观察相信大家对先前锁定特定型号 ATM，远程骇入让 ATM 自动吐钞的事情印象深刻吧。尽管黑客集团派来中国台湾地区取钞的车手落网，Group-IB 的报告指出背后的俄罗斯黑客集团肆虐各地，包括俄罗斯在内的欧洲各国，还有泰国。

骇入 ATM 取钞已经有 5 年的时间，但到最近才跃上新闻版面，原因是黑客必须要能够实际碰到 ATM，因此每次能搞到的机器数量往往很少。但技术演进，已经可以靠远程的指挥中心，一次动到好几台 ATM 机器，趁银行还没发现异状前，抢到大量纸钞后溜走。

至于黑客怎么侵入银行网络呢？黑客会假装是欧洲中央银行、ATM 厂商，寄钓鱼信侵入银行网络。尽管看邮件帐号应该是这些厂商、监管单位寄来的，实际上是伪造的寄件服务器，追踪实际的 IP 是在俄罗斯境内。其中有一封 7 月寄的信里头，夹带匿名的邮件脚本 “yaPosylalka v.2.0” (另一个名称是 “alexusMailer v2.0”)。信件夹带 Banks.doc 或是 Bitcoin ATM’s doc 档案，但都藏有恶意程序码，一不小心打开了就会感染。

▲ Group IB 取得的钓鱼信范例。

Group IB 表示，从前黑客是针对个人攻击，像是盗取信用卡资讯后盗刷，或是骇入取得个人的线上帐号存取权。如今转向更大的目标，那就是银行的网络，所以不只有 ATM 机器，还有整个电子支付系统也潜藏危机。2 月时孟加拉中央银行的 SWIFT 信息遭破解，造成超过 8,100 万美元被窃，创上史上金额最大的数码抢劫案之一。

Group IB 认为这些案件背后为单一集团，代号 Cobalt 所为，而从使用的手法和工具来看，可能跟俄罗斯的黑客集团 Buhtrap 有关。不过 Buhtrap 用诈骗电汇方式偷钱，而不是透过骇入 ATM。

世界最大的两家 ATM 制造商 Diebold Nixdorf 和 NCR 公司都很清楚被锁定，已经协助顾客对付威胁。

“黑客集团已经将先前的技俩升级，现在已经可以一次攻击大量的机器了，”Diebold Nixdorf 核心软件和 ATM 安全资深总监说。“他们知道他们很快就被抓了，因此他们找到能一次让很多台 ATM 同时吐钞的方式，并且尽可能在被发现前取钞。”

“我们跟顾客密切合作，包括那些已经被侵入，以及要开发防范措施和策略，减低攻击造成影响的顾客，”NCR 公司全球企业诈马和信息安全营销总监 Owen Wild 说。看来银行、ATM 机公司都很努力要防范下一次的侵入事件，希望别又有相关事件发生了。

(首图来源：Public Domain Pictures)

相关链接

• Hackers target ATMs across Europe as cyber threat grows

如需获取更多资讯，请关注微信公众账号：半导体行业观察