说起ATM机( Automatic Teller Machine,自动柜员机),大家肯定不陌生,这是我们最经常接触的物品之一了。相比银行柜台取钱排长队且要看营业时间,还是24小时自助的ATM机方便快捷:既能存钱、取钱,还能转账汇款、查询明细,就连给家里交个水电费也是毫不费事~
当然了,凡事都有两面性。ATM机好用是不假,但利用ATM机诈骗的案子也是层出不穷:封死出钞口,借机行事;从后拍肩膀,掉包银行卡;贴假银行公告,诱使持卡人转账;制造ATM机故障吞卡,窃取持卡人资料;装作“热心人”套话,进而进一步下套……
虽然对一些骗子的“套路”熟悉得已经能“张口就来”,可ATM机和咱们的财产安全还暗藏着许多你所不知道的秘密,到底是什么呢?请和“保密观”一起看看吧!
虽然与ATM机有关的诈骗手段仿佛到21世纪才逐渐为人们所知,但ATM机本身的存在历史可以追溯到20世纪60年代。美国的迪堡公司宣称,最早的ATM机是他们于1967年制造的。
2016年4月,迪堡公司为中国浪潮集团访问团介绍迪堡系列ATM机
那个时候科技和网络都不发达,ATM机造价不菲,没有联网,使用率也不高,为了安全,银行只向信用记录良好的用户开放使用。直到70年代后期,ATM机才真正开始普及。当时的不法分子没有什么高科技犯罪手段,最唬人的也就是用挖掘机把ATM机搬走这种暴力模式。
英国惠特尔西村曾发生一起离奇抢劫案,一伙“笨贼”出动挖掘机欲偷走加油站的ATM机,可最终还是空手而归(图文不相关)
“强制拆迁”对于盗窃保险柜或许有效,但是想要搞定ATM机根本不可能。如今的ATM机基本是全钢架结构,不仅装有外部监控摄像头,有时还配备了专门的值班人员。不法分子恐怕是钱没还到手,警察已经在路上了。
不过,钢筋混凝土下的ATM机防得住有形的窃贼,却难防无形的黑客。
黑客攻击ATM机的历史由来已久。说起来也巧,“黑客”一词的出现和ATM机的诞生差不多是同一时期。而随着ATM机的不断发展,黑客攻击技术也在日臻“完善”。
2010年的黑帽技术大会上,传奇黑客巴纳拜·杰克利用黑客技术让两台不同系统的ATM机,当着全球黑客大咖的面,自动喷出了钱。
而最早发现黑客“抢劫”ATM机,则是2013年的乌克兰ATM机无故吐钱事件。当时的监控录像显示,即使没有插入银行卡或触碰任何按钮,基辅一台ATM机仍然会时不时地自动吐出现金,有人“准时”守在机器前将钱取走。
2015年,有关研究人员在德国储蓄银行Sparkasse的ATM机中发现信息泄露和硬件错误配置漏洞,它们在软件升级期间被诱骗暴露大量敏感信息。
2016年11月,亚洲和欧洲多家银行ATM机被黑客恶意远程攻击后,向外自动吐出钞票,损失高达3000多万美元。据披露,黑客选择一次性向位于多国的多台ATM机展开攻击,就是考虑到一旦发动行动,很快会被察觉。所以他们选择扩大打击面,以尽可能多地提取现金。
这简直是太神奇了,黑客们难道是传说中的魔法师?否则怎么能在没有任何物理接触的前提下,就让ATM机心甘情愿地为自己吐钞?
其实,简单说来,就是黑客利用各种漏洞攻破银行的后端网络,然后并不像传统方法一样在ATM机上植入恶意文件,而是通过日志直接对ATM机下达指令,因此这种手段也被称为“无文件攻击”。
于是,黑客站在机器面前,ATM机自动吐钞这样的“奇观”就出现了。其实远在千里之外,他的同伙正在控制服务器发送出钞指令。
那么,小伙伴们可能会有疑问:ATM机储备着大量的货币,按理说安全系数设置应该是非常高啊,怎么能轻易就被黑客攻破了呢?
关于这一点,大家就想错了。事实上,根据卡巴斯基实验室研究发现,世界上几乎所有的ATM机都可能被非法访问并洗劫,因为绝大部分ATM机的系统和软件都是相对过时的,有的网络设置中还存在问题,这就让它们在黑客攻击面前非常“脆弱”。
今年5月份,“勒索病毒”席卷全球,连ATM机也未能幸免,纷纷“躺枪”,无奈地挂着“勒索”页面宣布“罢工”。这就是因为ATM机还使用着老版Windows系统,有的甚至是XP系统,这些系统很容易遭受计算机恶意软件和漏洞利用程序的攻击和感染。
大多数情况下,ATM机使用基于XFS标准的特殊软件,用来同银行基础设施和硬件进行通讯,处理现金和信用卡,其最初的开发目的就是为了让ATM机上的软件标准化,能够在任何设备上运行。但问题出现了,XFS标准不要求对其处理的命令进行授权,这意味着任何在ATM机上安装和启动的应用,都可以向所有ATM机的硬件设备发送指令,包括ATM机自带的读卡器和出钞器。如果恶意软件成功感染了ATM机,就可以不受限制地控制它,将PIN键盘和读卡器变成一个“原生的”盗刷器,从而接收黑客发送的命令,肆无忌惮地“吐钞”。
“持续运行且不及时更新操作系统的ATM机,是恶意软件新的攻击目标。正如家用电脑一样,要确保它的安全性,最好的做法就是保持自己的家用电脑安装了当前最新的安全补丁,该道理同样适用于银行和ATM机。”这是数据安全专家给有关金融机构和ATM机生产厂商的忠告。
以上看了国际黑客们攻击ATM机的那些事儿,大家肯定也想了解,我们国内的ATM机是怎么保护财产安全的呢?
如今,随着国际上ATM机安全问题日益暴露,我国的银行也在想办法弥补。现在国内的很多银行都开始支持无卡取款或操作,通过手机扫描二维码甚至刷脸就能取款,这种设计加强了身份验证,也可以防范那些会记录银行卡磁条芯片信息、密码的恶意程序。
今年开始,农业银行、招商银行等宣布上线面部识别技术,刷脸取款,并计划在全国推广
而据央视报道,我国科研人员不仅在软件方面对ATM机加强安全风险控制管理,还对ATM机使用中的一些技术隐患做了调整,加固了ATM机的内部安全性。
1.防密码窃听
很多人担心,不法分子凭键盘按键的不同声音就能够猜出自己的银行卡密码,这种担心并非杞人忧天。在过去,为了避免输入错误,键盘0—9的声音设置得都不一样,但这也带来了极大的安全隐患。现在,经调整,各家银行的ATM机在键入密码或卡号时发出的按键音均为相同或无声。
不过,虽然ATM机及POS刷卡机的按键音都是相同或无声的,因此泄密的可能性小。但电话的按键音确实不同,大家使用电话银行时最好不要使用免提功能。
2.防窃取指纹
我们手上每天都会分泌油脂、汗渍,因此容易在光滑的表面留下印记,这就可能让一些不法分子有迹可寻。但技术人员改进了ATM机密码键盘界面,通过拉丝处理将容易留下印记这个问题解决了。
3.防密码盗录
当年ATM机键盘上可能有摄像头盗取密码这个说法流传了好一阵儿,大家输入密码之前也都会草木皆兵地细致检查一番,现在这种事基本不可能发生了。因为无论是键盘上的保护罩还是键盘本身,只要是被人恶意刺探或掀起,就会报警,除非是经银行授权的正常维修。
好了,今天讲了这么多,主要是和大家分享一些ATM机的信息安全常识。“保密观”在这里还要给大家提个醒,当前,随着窃密技术的提高,一些ATM机也可能被不法分子利用,到重要涉密单位或军事禁区附近设置秘密窃听、监控点。因此,对于在单位安装ATM机,涉密单位还应当依托相关技术部门,用“道高一丈”的技术及时发现和防范。