2018年1月，美国特勤局以及主要的ATM供应商Diebold Nixdorf和NCR发出了关于ATM攻击威胁的紧急警告：犯罪分子计划在ATM上植入恶意软件或连接特殊设备以控制现金分发。Positive Technologies公司对ATM安全分析做了报告。

Positive Technologies的分析表明，安全分析中遇到的ATM漏洞分为四类：网络安全性不足、外围设备安全性不足、系统或设备配置不当，应用程序控制的漏洞/配置错误。

NCR，Diebold Nixdorf，GRGBanking和银行使用的大多数ATM都被证明易受远程或本地潜在攻击者的攻击，大多数攻击时间不超过15分钟。

ATM由两个主要部分组成：机柜和保险柜。机柜（主体）包含ATM计算机，它连接到所有其他设备：网络设备，读卡器，键盘（密码键盘）和自动提款机（分配器本身在保险箱中，但连接器不在） 。

机柜几乎没有受到保护，只有一个塑料门由一个微小的锁固定。更重要的是，制造商通常对同一系列的所有ATM使用相同的锁。这些锁的钥匙可以在线轻松购买，但攻击者也可以挑选它们或钻穿脆弱的塑料。保险柜更坚固，由钢和混凝土制成，仅包含自动提款机和现金验收模块。

图：ATM组件之间的交互

对于犯罪分子，感兴趣的ATM部分包括计算机，网络设备和主要外围设备（读卡器和自动提款机）。对这些组件的攻击可以拦截卡数据，干扰处理中心的事务处理，或者告诉分配器发放现金。对于此类攻击，犯罪分子需要物理访问ATM机柜或与ATM所在网络的连接。

图：可能对ATM设备的攻击

在了解了ATM组成以及黑客对此的兴趣点后，一起来看一下黑客将如何攻击。

根据攻击目标将攻击场景分为两类：从ATM保险柜获取资金（Cash robbery)或从客户的银行卡复制信息(Card data theft)。

对于网络级攻击，主要目的是访问ATM所连接的网络。如果攻击者是银行或Internet提供商的员工，则可以远程获取此访问权限。否则，攻击者需要亲自到场打开ATM，拔掉以太网线，并将恶意设备连接到调制解调器（或用这样的设备替换调制解调器）。然后连接到设备并攻击可用的网络服务，或尝试中间人攻击。有时调制解调器位于ATM机柜外部，因此攻击者甚至不必打开ATM来执行修改。

图：ATM网络攻击

银行卡的磁条包含执行交易所需的信息。尽管磁条最多可以容纳三个磁道，但通常只使用两个磁道（Track1和Track2）。Track1包含卡号、到期日期、服务代码和所有者名称。它还可能包含PIN验证密钥指示符，PIN验证值和卡验证值。Track2复制Track1上除所有者名称以外的所有信息。

在POS终端使用磁条支付或从ATM提取现金只需要阅读Track2。因此攻击者试图从Track2复制信息。此信息可用于创建假卡复制品，这些复制品在darkweb（暗网）上出售。所谓的卡片转储占暗网上所有售卖信息的四分之一。单张卡的平均成本为9美元。

多年来，犯罪分子在读卡器上放置物理垫片（skimmers撇油器），以便直接从磁条读取信息。银行流行起来，现在广泛采取措施阻止撇脂。尽管如此，即使没有撇油器，数据仍然可能被窃取。拦截可分为两个阶段：

• 在ATM和处理中心之间的数据传输期间；

• 在ATM操作系统和读卡器之间的数据传输期间。

图：针对卡数据被盗的攻击

在攻击中，ATM所有者首当其冲受到威胁，但银行客户也可能成为受害者， 特别是在卡片克隆攻击的情况下。在Positive Technologies的安全分析工作中，不断发现与网络安全，配置不当和外围设备保护不良相关的漏洞。总之，这些缺陷使犯罪分子能够窃取ATM现金或获取卡信息。

测试人员几乎在所有情况下都找到了绕过保护的方法。由于银行倾向于在大量ATM上使用相同的配置，因此可以更容易地以更大规模复制对单个ATM的成功攻击。

为降低攻击风险，第一步是物理固定ATM机柜和周围环境。如果不访问机载计算机和外围设备端口，利用发现的大多数漏洞都是不可能的。另一个关键步骤是记录和监控安全事件，以便在出现威胁时快速做出反应。 

参考来源：

• ptsecurity

往期热门资讯：                                        

公众号ID：ikanxue
官方微博：看雪安全

商务合作：wsc@kanxue.com