ATM机又遭劫难:”隐形”盗读器横空出世

不管你知不知道ATM盗读器(skimmer)是什么,都该读一读这篇博文—了解如何保护自己银行卡的安全。你需要时常注意ATM机上是否有可疑的附着物,并避免使用看上去有问题的ATM机。但如果未发现任何附着物,又或者盗读器是完全隐形的呢?

不管你知不知道ATM盗读器(skimmer)是什么,都该读一读这篇博文—了解如何保护自己银行卡的安全。你需要时常注意ATM机上是否有可疑的附着物,并避免使用看上去有问题的ATM机。但如果未发现任何附着物,又或者盗读器是完全隐形的呢?

有这种可能吗?

恐怕的确有这个可能。事实上,我们的全球研究和分析团队(GReAT)和渗透测试团队就发现了某个专门感染ATM机的俄罗斯网络犯罪团伙采用这类装置,能够将一整台ATM机彻底变成盗读器。

“双份大奖”

似乎网络犯罪分子也对”分享经济”的理念情有独钟:既然ATM机本身的硬件能满足他们实施病毒感染的所有要求,那为何还多此一举安装”盗读器”装置呢?他们只需让ATM机感染被称为”Skimer”的特殊恶意软件,然后利用ATM机自身的读卡器和密码键盘就能盗取所有必要的银行卡登录凭证。

显然此”分享”非彼分享;一旦他们成功病毒感染ATM机,将不仅能控制密码键盘和读卡器装置,还能控制吐钞机。因此网络犯罪分子除了能盗取受害人银行卡登录凭证外,还能发送命令要求ATM机吐出里面的所有现金。

实施此类网络犯罪活动的网络犯罪分子小心地隐藏着他们的踪迹。为此,特意制定了两种策略。尽管他们只需对受感染ATM机发出指令,就能随时取出大笔现金,但这样很容易会引起怀疑并招致警方的大规模调查。为此,他们更愿意让恶意软件潜伏在ATM机内,秘密收集被盗读银行卡的数据,以待未来更安全时再提出现金。

网络犯罪分子是如何感染ATM机的

正如我们在最近一篇博文中提到,尽管从外观来看,ATM机的安全保护措施坚固无比,但在网络安全领域,这些”全副武装”机器则更易受到攻击。就在上述案例中,犯罪分子既可通过物理访问也能借助银行内部网络感染ATM机。

在将Skimer恶意软件成功安装入系统后,立即感染ATM的计算机处理系统核心区域,使得犯罪分子能完全控制受感染ATM机并将其彻底变成盗读器。Skimer恶意软件将一直潜伏在ATM机内,直到犯罪分子向被感染的吐钞机发出命令。

要想”唤醒”潜伏在ATM机内的恶意软件,不法分子必须插入特制的银行卡(磁条上存有某些记录)。通过ATM机读取记录后,Skimer恶意软件就能执行硬编码命令或通过卡激活的特殊菜单对犯罪分子发出的命令进行响应。

在犯罪分子拔出卡后60秒内用密码键盘输入正确的会话密钥,ATM机屏幕上就会显示Skimer的图形界面。利用这一菜单,犯罪分子能向ATM机发出21条完全不同的命令,包括:

  • 吐钱(从指定钞箱吐出40张钞票)
  • 收集插入银行卡的详细信息;
  • 自动删除;
  • 升级(从嵌入卡芯片的更新恶意代码进行升级);
  • 将带有卡和PIN码数据的文件保存在同张卡的芯片上;
  • 或将所收集到的银行卡详细信息打印在ATM机收银条上。
  • 如何保护自己银行卡的安全

    在此前发表于Securelist的博文中,我们的安全专家为银行提供了不少有关该在系统内搜索哪些文件的安全建议。同时,还将ATM机病毒感染活动的完整报告与包括执法机构、CERT(计算机安全应急响应组)、金融机构和卡巴斯基实验室威胁情报客户进行了分享。

    对于我们普通人而言,ATM病毒程序的确会造成巨大威胁:因为如果无法扫描ATM计算机系统,我们就无法判断ATM机是否受到病毒感染,因为从表面根本看不出任何异常。

    银行通常认为,正确输入PIN码就代表交易是由银行卡卡主执行,同时卡主也必须为自己的PIN码被盗负责。银行的规定我们根本无力反驳,一旦不幸中招遭受的损失几乎很难追回。

    尽管你无法100%确保ATM是否感染病毒,但我们以下提供的安全小贴士起码能保护你大部分资金的安全。

    1. 尽管我们无法鉴别哪台ATM机安全,哪台感染了病毒,但我们仍然能根据ATM机摆放的地方最大降低安全风险。最好的方法就是只使用摆放在银行大厅内的ATM机—犯罪分子很难有机会感染这些机器,并且银行技术团队检查这些机器的频率也更高一些。

    2.经常检查所有的银行卡交易记录。最好的方法就是开启交易短信通知:如果你的银行提供这项服务,记得一定要开启。

    3. 如果你发现一笔从未进行过的交易—立即打电话通知银行停用这张卡。不要有任何迟疑。你反应的速度越快,就越可能追回大部分的损失。

    提示