返回新闻列表

卡巴斯基实验室和国际刑警组织发出警告:受感染ATM机无需插入银行卡即可出钞,全球范围内已有数百万美元被盗

        卡巴斯基实验室的安全专家取证调查了一起针对全球不同ATM机的网络攻击。公司的研究人员在调查中发现,攻击者通过一款恶意软件感染并直接操纵ATM机,从而将ATM机内的现金洗劫一空。窃取金额已高达数百万美元。国际刑警组织已经向受影响的成员国家发出警告,并协助进行后续调查。

        他们的作案时间通常在晚上,并且仅在星期日和星期一。这些罪犯无需插入信用卡,而是在ATM机键盘上输入一串数字,然后打电话接收操作者的进一步指示。在其输入另一组数字后,ATM机就会开始大量出钞。此后,作案人员便迅速离去。

攻击如何进行

        网络罪犯的攻击分为两个阶段。第一阶段,网络罪犯需要物理接触ATM机,并插入一张可移动CD,安装恶意软件。卡巴斯基实验室将这种恶意软件命名为Tyupkin。重启系统之后,受感染ATM机就会受网络罪犯控制。

        成功感染ATM机后,恶意软件会无线循环运行,等待指令。为了让这种欺诈行为变得更难识别,Tyupkin恶意软件仅在特定时间,即周日和周一晚上接收指令。在该时间段内,攻击者能够从受感染的机器中窃取现金。

        受感染ATM机附近的监控摄像头记录下的视频片段显示了网络罪犯如何从机器中窃取现金。首先,针对每次窃取行动均会生成一个基于随机数字的独特数字密匙。这能够确保网络犯罪团伙以外的人无法在偶然情况下利用这种欺诈手段获利。之后,在ATM机旁边的操作者会接听另一团伙成员的指示,因为此人知道密匙的算法,能够利用机器上显示的数字生成一个密匙。这种方式能够确保取钱的人无法自己去完成任务。

        输入正确的密匙后,ATM机会显示每个存钞箱内的金额,并要求操作者选择窃取哪个存钞箱;接着,ATM机就会一次性吐出40张钞票。

Tyupkin恶意软件

        应金融组织的要求,卡巴斯基实验室全球研究和分析团队对这类网络犯罪攻击行动进行了取证调查。卡巴斯基实验室将攻击中所使用的恶意软件命名为Backdoor.MSIL.Tyupkin。截止到目前,我们在拉丁美洲、欧洲和亚洲的ATM机上都发现了这种恶意软件。

        “最近几年,我们发现利用ATM机读卡器和恶意软件攻击ATM机的案例数量出现大幅增加。现在我们看到,这类威胁已自然演变为网络罪犯直接攻击金融组织。网络罪犯通过感染ATM机或针对银行直接发动APT类型的攻击实现其目的。在这起案例中,攻击者通过Tyupkin恶意软件,利用ATM基础设施的弱点进行攻击”,卡巴斯基实验室全球研究和分析团队首席安全研究员Vicente Diaz评论说。

        “我们强烈建议银行重新评估其ATM机的物理安全性以及网络基础设施的安全性,并且考虑投资和购买高质量的安全解决方案”,Diaz补充说。

        “网络罪犯会不断寻找新的方法,改进他们的犯罪手段。所以,在对抗这类犯罪方面,我们需要相关成员国家的执法机关介入,并且及时让他们知晓网络犯罪趋势以及犯罪手法” ,国际刑警组织数字犯罪中心总监Sanjay Virmani表示。

银行如何减少风险:

  • 评估自身ATM机的物理安全性,考虑投资和购买高品质的安全解决方案。
  • 更改ATM机所有的锁和主密码,弃用生产商的默认设置和密码。
  • 为ATM机安装报警系统,确保其工作正常。Tyupkin幕后的网络罪犯仅感染未安装安全警报系统的ATM机。
  • 更改默认的BIOS密码。
  • 确保机器得到最新的反病毒保护
  • 请发邮件联系我们,确认您的ATM机是否遭受感染。邮件地址:intelreports@kaspersky.com。请使用免费的卡巴斯基病毒清除工具(下载地址在这里),对ATM系统进行全盘扫描并删除后门程序。

        请点击这里,观看真实ATM机如何遭受攻击。

        请访问Securelist.com,了解更多关于Tyupkin恶意软件的详情。