返回新闻列表

ATM机成为最新盗刷器:网络罪犯将ATM机“收买”

        一个使用Skimer恶意程序进行犯罪,同时使用俄语的网络犯罪组织正在利用ATM机大肆窃取用户钱财。Skimer最早于2009年被发现,是首个针对ATM机进行攻击的恶意程序。七年后,网络罪犯仍然在循环使用这种恶意软件,但是攻击者和恶意程序都进化了,而且这一次他们对全球银行和银行客户造成的威胁更大。

        想象一下这样的情景:银行发现自己遭遇了攻击。但是,奇怪的是,并没有资金被盗,而且银行的系统似乎也没有被更改。网络罪犯就这样离开了。这样可能吗?

       要找到这种不同寻常的犯罪行为的目的,非常具有挑战性。但是在事故调查过程中,卡巴斯基实验室的专家团队破译了网络罪犯的阴谋,在一家银行的ATM机上发现了一种改进版本的Skimer恶意软件。该恶意软件被网络罪犯植入到ATM机中,但并没有激活,而是等待网络罪犯发送指令。这是一种隐藏自身痕迹的巧妙办法。

       这一犯罪组织的行动从获取到ATM系统的访问权限开始,不管是物理访问权限还是通过银行的内部网络访问。之后,在ATM机系统上安装Backdoor.Win32.Skimer恶意程序,感染ATM机的核心,即机器用来同银行基础设施以及现金以及信用卡进行互动的可执行文件。

       这样,网络罪犯就完全控制了受感染ATM机。但是,他们会非常谨慎地行事。他们不会在ATM机上安装盗刷器设备(一种安装在ATM机读卡器上的假冒读卡器)来窃取银行卡数据,而是将整个ATM机变成了一个盗刷器。由于ATM机已经被Backdoor.Win32.Skimer感染,网络罪犯可以取光ATM机种的所有现金,或者窃取所有在这台ATM机上使用过的银行卡数据,包括客户的银行卡号和密码。

       可怕的是,普通用户根本无法识别某台ATM机是否被感染。同普通的盗刷器不同,因为这种窃取数据手段能够被高级用户所识别,发现真正的读卡器被替换,而受感染的ATM机没有任何可以识别的物理标识。

沉睡的僵尸

       利用盗刷器从ATM机直接盗取现金的话,立刻就会被发现,而利用ATM机内的恶意软件盗窃现金和银行卡数据,可以确保很长时间内不会被发现。所以,网络罪犯通常不会立刻就采取行动,而是很小心地隐藏自身踪迹。受感染ATM机上的恶意软件可能会潜伏数月之久,而不采取任何行动。

       想要激活这些恶意程序,网络罪犯需要将一个特殊的银行卡插入ATM机。这张卡的磁条上包含特定记录。读取这些记录后,Skimer恶意程序可以执行相关命令,或者显示一个通过卡片激活的特殊菜单,等待网络罪犯输入指令。Skimer的图形界面只有在卡片弹出后,并且网络罪犯在60秒内输入正确的密码后才会出现。

       利用这个菜单,网络罪犯可以激活21个不同的命令,例如取现(从指定的储钱箱中吐出40张钞票)、收集窃取到的银行卡数据、删除自身和进行更新(利用卡片中芯片植入的恶意软件代码进行更新)等。在收集银行卡数据时,Skimer恶意程序能够将dump和密码信息保存在同一张卡片上,或者利用ATM机的数据将相关数据打印出来。

       大多数情况下,网络罪犯会选择等待,收集大量银行卡信息,以便之后复制这些银行卡。利用这些复制的银行卡,去其它未被感染的ATM机上使用,窃取客户的账户资金。这样,网络罪犯能够确保受感染的ATM机不被发现,而且还可以很容易地窃取到现金。