透過網路上傳 rootkit (木馬程式) 達成破解 ATM


蘋果日報原文連結

一年一度的全美駭客大會(Black Hat USA)前天在拉斯維加斯登場,最受期待的重頭戲之一,就是由駭客轉型美國資訊安全專家的傑克展示如何駭入自動櫃員機(ATM)取鈔。傑克用兩種方法,讓ATM吐出全部鈔票,凸顯ATM的安全漏洞。

過去歹徒對ATM的下手方式,多為安裝假讀卡機或隱藏式攝影機,以竊取提款卡帳號密碼。任職於西雅圖資訊安全公司IOActive Inc.的傑克(Barnaby Jack)費時兩年,研究多台網路上買來的ATM,發現更容易得手的方法。這些ATM都是獨立型(standalone)機種,但他的方法也可能適用於銀行用的機種。

傑克發現,同一製造商生產的同型ATM,鑰匙全一樣。他用在網路上買到的鑰匙打開一台ATM,將隨身碟插入ATM的USB插槽,灌入他寫的惡意程式後,再操作ATM,指示ATM吐出全部鈔票。傑克還展示透過網路遠端駭入另一台ATM的方法。使用此法須先得知ATM網路位址或電話號碼,就可不必輸入密碼,迫使 ATM吐鈔。他不願透露詳情,因為「目的不是要教人如何駭入ATM」,但警告這種方式更危險,因為還可取得ATM使用者帳戶資料。

傑克的神乎其技讓觀眾掀起如雷掌聲。他事前已通知兩台ATM製造商,製造商已改善軟體,防止其他駭客用同樣方法犯案。原本他去年就要展示神技,但因ATM製造商來不及採取行動,才延至今年發表。傑克說,他一開始不認為自己真能駭入ATM,沒想到「研究的每一台ATM,都能被我找到弱點,這很恐怖。」

防毒軟體商卡巴斯基(KASPERSKY)資深研究員包姆加納(Kurt Baumgartner)說,傑克的示範表演「很驚悚」,不過他未公開惡意程式碼,且一般銀行使用的ATM系統和獨立ATM不同,不會導致ATM遭駭客廣泛攻擊。

台北富邦銀財富管理資深副總經理黃以孟說,銀行每天24小時都有人監控ATM是否故障、是否有人入侵,而且防範規格相當嚴格,資訊控管嚴謹。北富銀有各廠牌的ATM,而ATM不只有鑰匙,還要密碼才能打開,是雙重管控,跟金庫一樣。