針對ATM的安全性問題,這次的事件並非全球第一次發生,早在2014年卡巴斯基實驗室已經率先發現此類的威脅事件,並提供相應的對策和防禦辦法。這類的ATM攻擊與盜領事件,隨著駭客威脅手法的不斷創新,未來將會更頻繁出現!卡巴斯基呼籲,政府和金融單位必須正視這些問題,做好相應的網路威脅防護,以提供給廣大的金融使用者最大的安全保障。
卡巴斯基實驗室近年來針對各國ATM資安事件研究,歸納了幾種可能的攻擊手法:
1.“Carbanak”手法:針對整個銀行交易處理系統進行入侵
第一階段:先透過社交工程,取得特定權限管理者的敏感性資訊(如帳密相關資訊),利用已被感染的內部電腦搜尋出具有管理員權限的電腦;第二階段:針對具有管理權限的操作主機,透過網路繞行運用漏洞植入惡意程式,再進行第三階段的資訊收集,包含側錄交易系統或特定平臺的資訊,再於特定時間點針對有弱點的ATM進行攻擊,於特定時間點吐鈔取款。
此種手法也被視為標準的針對式攻擊(APT)方法之一。近日事件,近似這種例子,後續受攻擊單位除了ATM設備檢視外,亦需從內部網路徹底檢查。
2.“黑箱”攻擊(Black box attack)
此項攻擊需搭配特定的破解硬體工具,於ATM硬體設備上維護時插入特定設備(黑箱),駭客可透過工具直接控制整個ATM設備,進行ATM吐鈔及側錄相關交易資訊等功能。此種手法需能直接接觸實體設備,並介接相關控制晶片或網路。
卡巴斯基室驗室滲透部門安全專家Olga Kochetova表示,ATM所受的威脅,最大的問題,其實來自於對ATM設備沒有配置正確的安全保障,或太相信ATM是封閉的網路架構,而忽視了對基礎設施、作業系統及應用程式的管控機制。這些誤解,給現在的網路犯罪者提供不一樣的機會。例如:在ATM內部網路中,直接使用telnet即可登入設備進行維護作業,很容易就能讓人取得相關的帳密,或是利用進行攻擊。
要減少這些設備面臨的威脅,可先從下方建議做為改善:
‧針對XFS標準協定進行修定,增加其安全性。在設備和合法軟體間導入雙因數認証機制。可減少攻擊者使用木馬後門等未授權程式控制ATM的機會。
‧針對ATM上所執行的各種程式進行管制,更新軟體步驟配合資安政策標準,避免被植入木馬或惡意程式的機會。
‧對ATM設備的電腦硬體設備檢查相關介面(網路孔或USB孔)及硬體完整性控制,確保基礎設施的完善,不受外接設備影響。
以上攻擊手法可參考下列網路分享:
‧https://www.youtube.com/watch?v=wUU8bAVgx80
‧https://www.youtube.com/watch?v=4TXnIcjn1xc
‧卡巴斯基實驗室事件發布中心於2016年4月26日發布之ATM攻擊事件說明:https://securelist.com/analysis/publications/74533/malware-and-non-malware-ways-for-atm-jackpotting-extended-cut/
卡巴斯基實驗室全球技術副總裁Sergey Gordeychik對臺灣的事件表示,這是跨國性的組織犯罪,我們非常遺憾聽聞台灣發生此事件。卡巴斯基實驗室目前持續與GCSEC(Global Cyber Security Center)研究聯防ATM與金融體系可能發生的威脅,期望協助全球降低這方面的資安事件。
卡巴斯基實驗室大中華區董事總經理鄭啟良也表示,很遺憾聽到臺灣發生這樣的金融網路威脅事件。網路犯罪組織化已是全球趨勢,對抗網路罪犯的組織化更需要專業的團隊協助聯防。卡巴斯基願意與臺灣相關機構和企業積極合作,提供全球領先、專業的攻擊情報分析,以及相應的產品和服務處置辦法。
卡巴斯基實驗室目前有Kaspersky Embedded Systems Security提供ATM/POS相關安全解決方案;面對針對性攻擊亦提供Kaspersky Anti Targeted Attacks安全方案;面對全球日趨複雜的網路攻擊,卡巴斯基更有針對國家政府、大型企業的威脅情報分析回應。這些產品和服務,能夠有效因應並防護全球性網路威脅事件的發生。