卡巴斯基研究员Igor Soumenkov本周在安全分析师峰会(Security Analyst Summit)上介绍了一种新型攻击:黑客结合低端数字技术和非常精准的物理渗透技术让ATM吐钱。这类攻击去年首次浮出水面,当时欧洲和俄罗斯几家银行发现,ATM其中一侧被钻出一个洞。

在ATM上钻出一个洞能做些什么?卡巴斯基专家调查后并未发现恶意软件,那怎么能解释ATM吐钱的原因?

经过仔细查看后,研究人员发现一个4cm的洞口,顿时茅塞顿开。正是这个洞的位置对解开攻击之谜至关重要。

ATM窃贼在ATM 密码键盘(PIN Pad)一侧钻了一个4cm宽的洞。卡巴斯基研究人员在实验室拆装类似的ATM后发现,这个洞正好靠近ATM一个重要组件,即10 Pin排针(10-pin header)。

这个10 Pin排针不只是连接器,该排针还直接连接到ATM主总线,而主总线连通所有其它ATM组件(屏幕到密码键盘(PIN Pad)的组件,以及从内部现金存储组件到ATM吐钱区)。

黑客钻洞取钱简直“一本万利”卡巴斯基研究人员随后仅花费少许时间自制的一款工具,并通过这个洞插入连接器,之后连接到ATM总线。

而这个自制工具的成本不过15美元,并且使用的是现成电子设备,并不需要特殊组件,包括最终,研究人员打造出了自己的钻洞吐钞设备。他们这台设备十分紧凑,甚至比被捕嫌犯的笔记本电脑还小,仅由一块试验电路板、一个Arduino微机上常见的Atmega微控制器、一些电容器、一个适配器和一块9伏电池组成,总成本不足15美元。。即使ATM运行特殊的软件并使用加密操作,要破解ATM的加密方案相当简单。

至于ATM的操作也很容易理解,研究人员可以反向工程ATM的内部工作,并使ATM总线按自己的方式执行。

无论采取哪种方式,即使窃贼不具备反向工程ATM协议的专长,仍可以在网上搜寻许多ATM编程指南(过去许多ATM编程指南被泄露在网上)。

卡巴斯基的研究人员搞了一台同型号的ATM机放在他们的测试实验室里,在测试中发现,该机器唯一的加密机制,就是用个弱异或(XOR)密钥,而且机器各模块间根本没有真正的身份验证。这就意味着该ATM的任何部分基本上都可以往其他部分发送指令,这使得攻击者可以冒充受ATM信任的计算机向吐钞器发送假指令。而且,该设备可在数秒连接时间内触发吐钞,想吐出多少钞票吐多少。

这起攻击的唯一缺点是:窃贼需要携带手提电脑通过15美元的工具向ATM发送命令,显然这样的目标过大。

但相比之前其它犯罪分子使用爆炸物或汽车破坏并入侵ATM,新型的“钻洞技术”再连接笔记本电脑实际上真是非常“安全”的方式了,能帮助窃贼低调行事。

周一,在同一场会议上,卡巴斯基的研究人员揭露了新型攻击“ATMitch”:攻击者劫持银行ATM后端网络,并通过RDP连接在ATM上安装会自行删除的恶意软件。

卡巴斯基警告:俄罗斯和欧洲已出现了这种电钻攻击,该技术可致全世界的ATM机受到所装钱款分分钟被清空的威胁。如今,ATM常被黑客盯上。最近,从台湾、泰国到俄罗斯的攻击,都用恶意软件感染银行内部网络,触发ATM吐钞。

本文转自d1net(转载)

黑客新技术在ATM钻洞就让其吐钱相关推荐

  1. 黑客瞄准美国 ATM 机,疯狂窃取超百万美元资金

    点击上方"CSDN",选择"置顶公众号" 关键时刻,第一时间送达! 据外媒 Ars Technica 近日报道,美国首次成功破获了一起 "Jackpo ...

  2. 摩根大通银行被黑客攻克, ATM机/网银危在旦夕,winxp退市灾难来临了

    winxp4月退市到现在还不到半年,就出现问题了 7600多万个消费者银行账户被黑,此外还有700万个小企业账户的信息也被黑客窃取,这个算不算灾难呢?如果等到银行业彻底崩溃,资金彻底丧失,那不只是灾难 ...

  3. 看黑客如何在Black Hat 2016上5秒干掉 macOS 系统,“催吐”ATM机| 宅客周刊

    1. Black Hat 2016 专题报道 中国黑客5秒干掉 macOS 系统,攻击方法首次全球揭秘 用户在苹果电脑上点击了一条链接,在他眼里,一切都那么平静.然而他并不知道,随着点击的轻响,无数数 ...

  4. 机器人HEXA登陆DEFCon黑客大会,上演拆弹竞赛

    提及拉斯维加斯,所有人第一时间会想到的恐怕都是灯红酒绿与赌城风云,但每年的夏天,当被誉为黑客界"奥斯卡"的DEFCon黑客大会在这里举行时,它摇身一变成为了全世界黑客与极客们心向往 ...

  5. 反思 大班 快乐的机器人_幼儿园大班教案《蚂蚁宝宝钻洞》含反思

    大班教案<蚂蚁宝宝钻洞>含反思适用于大班的体育主题教学活动当中,让幼儿尝试选用不同的爬法进行钻爬运动,学习匍匐爬行的方法,体验用身体造型参与运动的快乐,快来看看幼儿园大班<蚂蚁宝宝钻 ...

  6. 沙场白帽老兵聊未来的挖洞方向及其它

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 可以说,Ziot(真名 Brett Buerhaus)和网络安全同呼吸共命运.目前他在 Blizzard Entertainment ...

  7. 超出一般人的想象 十大终极黑客入侵事件

    任何带有计算芯片的设备都可能被黑客入侵,但在这个每年都会有数百万计算机被恶意软件感染,几乎每家企业的网络都曾经被黑客攻击过的世界上,真正具有创新性.发人深省的入侵事件却很少. 这些终极的黑客活动远远超 ...

  8. 检测中质量监督常见的数个问题

    根据ISO17025中有关实验室质量监督工作要求,分析讨论了实验室质量监督工作中重视不够的一些问题.小析姐总结了11个实验室质量监督的常见问题,看看你们是否也有这样的问题. 1.监督走过场,形式化 实 ...

  9. 揭秘马斯克脑机接口公司Neuralink的科学雄心

    作者:乐邦 来源:网易智能频道 Neuralink近日终于披露了它在过去的两年一直在研究的东西.但是,尽管承诺会在人体上进行试验,但这项技术在真正产生影响之前还需要取得长足的进步. 在面向加州科学院的 ...

最新文章

  1. 在隐私的博弈时代,BCH为你保驾护航
  2. mysql 虚表_mysql虚拟表
  3. 高性能必须有 多活塞卡钳
  4. Codeforces Round #704 (Div. 2) E. Almost Fault-Tolerant Database 思维
  5. 在JAVA中把JSON数据格式化输出到控制台
  6. 觉得自己目前还很菜。
  7. redis 字符串基本操作
  8. Android Studio gradle 统一版本管理
  9. Python语言程序设计 习题1
  10. TRIZ系列-创新原理-18-机械振动原理
  11. FLURRY 文档摘要及备注
  12. 2016 song list
  13. MySQL 数据库单表查询——高级查询
  14. 2021最新python学习视频教程
  15. Excel表格怎么制作目录索引
  16. YGG 联合创始人 Gabby Dizon 在 Neckerverse 峰会上分享边玩边赚的故事
  17. Mac 配置Git与常用命令
  18. JDK安装和环境变量配置(Win10图文详解)
  19. SQLServer数据库安全规划全攻略(转)
  20. SQL Server 使用DELETE 语句删除表中的记录两种情况(删除符合条件的记录,删除所有记录)

热门文章

  1. 蓝桥杯 ALGO-95 算法训练 2的次幂表示
  2. L2-009. 抢红包-PAT团体程序设计天梯赛GPLT
  3. 微服务 SpringBoot 通过jdbcTemplate配置Oracle数据源
  4. 自动化测试与DevOps以及持续集成的关系。
  5. java 中计算时间差
  6. 修改Android Studio默认的gradle配置文件
  7. [jQuery]Great Ways to Learn jQuery
  8. WCF技术剖析之二十六:如何导出WCF服务的元数据(Metadata)[实现篇]
  9. 第二阶段冲刺报告(六)
  10. RHCE 学习笔记(5)- 本地用户和组的管理