自動柜員機(ATM)就是靜立的錢箱，而且身在銀行保險庫重重防衛(wèi)之外，傳統(tǒng)大盜和新興黑客都認為這是個完美的攻擊目標。尤其是在發(fā)展中國家，ATM往往缺乏基本的網(wǎng)絡(luò)安全預(yù)防措施，運行著老舊過時的操作系統(tǒng)，身份驗證要求也很簡單。過去幾年里罪犯在從ATM撈錢上可謂奇招迭出精彩紛呈，而且大多還很成功。

[[255607]]

ATM的主要的攻擊方法包括：

• 插入信息刮取器：放入刷卡槽的物理設(shè)備，可以捕獲被刷卡片的信息。
• 遠程網(wǎng)絡(luò)攻擊：使用ATMitch等惡意軟件控制ATM服務(wù)器提取現(xiàn)金。
• 直接惡意軟件攻擊：親至ATM跟前部署Ploutus-D之類惡意軟件變種。

2018年至少出現(xiàn)了兩類ATM安全新威脅：以其高速、有效和省力而聞名的“中大獎(Jackpotting)”攻擊;以及輕松盜取芯片磁條復(fù)合卡數(shù)據(jù)的“墊片(Shimming)”攻擊。

Jackpotting

誘騙ATM吐錢的方法多種多樣，但該新變種在2016年左右才在歐洲首次出現(xiàn)，到2018年就出現(xiàn)了大約十來起攻擊案例。該方法需在ATM的密碼輸入鍵盤旁邊鉆個小洞，塞進線纜連上筆記本電腦，然后給ATM發(fā)指令吐出鈔票?？ò退够鶎嶒炇业难芯咳藛T用價值15美金的設(shè)備就重現(xiàn)了該攻擊，連筆記本電腦都不用，一臺簡單的微電腦就行。

該攻擊得以成功執(zhí)行是因為很多ATM的加密和身份驗證要求都極其有限，攻擊者一旦能訪問這些特定部件就能獲取機器的完整控制權(quán)。此技術(shù)的危害在于，操控吐錢僅需幾秒，清空一臺ATM也只是幾分鐘的事。Jackpotting在發(fā)達國家很難實施，因為這些地方的警力響應(yīng)更快，但該技術(shù)的速度優(yōu)勢令其無論在哪個國家都相當有利可圖。幸運的是，此類攻擊不影響消費者，只是金融機構(gòu)會大感頭痛。

Shimming：信息刮取

如前所述，信息刮取(Skimming)是往ATM讀卡器里插入一個裝置來盜取被刷卡片數(shù)據(jù)。墊片(Shimming)則是該攻擊的升級版，往ATM或銷售終端的讀卡器中塞入紙片般薄的插入物就能偷到芯片磁條復(fù)合卡的數(shù)據(jù)。

因為所涉技術(shù)，此類攻擊的成本比Jackpotting要高，但由于實施簡單，此類攻擊尤其危險。數(shù)據(jù)小偷們所要做的僅僅是在機器前逗留幾秒鐘，而且一旦部署就很難被發(fā)現(xiàn)。最多就是插卡時感覺更緊更難塞入了才有可能查看設(shè)備，發(fā)現(xiàn)該多余的“墊片”。

一旦卡片信息被盜，攻擊者便可復(fù)制一張新卡。但目前來講，復(fù)制出來的復(fù)合卡尚不能用于插入式或接觸式付款，也就是純芯片支付功能不可用。因此，純芯片卡仍是消費者更加安全的選擇。

商家該如何保護ATM?

ATM安全現(xiàn)狀遠稱不上最佳，但ATM特殊的安全挑戰(zhàn)又讓做出改善十分困難。盡管如此，仍有長期或短期內(nèi)讓這些攻擊更難以實施的機會。

物理安全做好就能防住大部分ATM攻擊，因為即便是惡意軟件型攻擊也是始于對ATM的物理接觸的。不過，事情總是說起來容易做起來難，尤其是在發(fā)展中國家和鄉(xiāng)村。理論上ATM可以設(shè)計成一旦有人篡改就完全關(guān)閉，但制造商是不太可能這么做的，因為這樣太容易觸發(fā)誤報而讓機器不可用了。

想獲得更好的數(shù)字安全，ATM制造商應(yīng)在機器的軟件中更多地運用加密技術(shù)，要求更多身份驗證措施，禁用閑置端口，并創(chuàng)建授權(quán)進程白名單，一旦出現(xiàn)未授權(quán)進程就自動觸發(fā)警報。

業(yè)界已經(jīng)出現(xiàn)了一些從長期看能讓ATM更加安全的技術(shù)發(fā)展。很多ATM公司正完全摒棄 Windows XP，2019年1月便是完全遷移到 Windows 7 或 10 的截止期。同時，125家ATM公司組成的聯(lián)盟正在開發(fā)自己的ATM軟件標準，旨在徹底脫離Windows。然而，這需要時間，所以升級操作系統(tǒng)是重要的過渡步驟。

還有些潛在安全升級需要犧牲一定的便利性，所以可能不會馬上實現(xiàn)。比如說，一定數(shù)額以上的取現(xiàn)或交易如果要求雙因子身份驗證就能很大程度上削減復(fù)制卡的價值，但消費者愿意忍受這種不便嗎?

消費者該如何保護自身?

為避免各類支付卡信息被盜，請盡量使用接觸式支付或移動支付，比如 Apple Pay、微信支付等。這些支付方式不容易造成支付卡被復(fù)制，因而更加安全。使用ATM時盡量找銀行內(nèi)部的機器，或者在照明充分、熙熙攘攘，竊賊沒辦法不受干擾地動手腳的地方。如果不得不使用你覺得可能被篡改的ATM，先檢查有沒有什么異常，比如機器表面的刮痕、密碼輸入鍵盤周圍的小變動。為防止墊片攻擊，插入卡片時感覺一下有沒有異常的阻礙感。最后，經(jīng)常查看交易記錄，及時發(fā)現(xiàn)非授權(quán)支付。

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文