近日,美国联邦调查局(FBI)警告各大银行,网络犯罪分子目前正在计划实施一个针对全球各大银行ATM机的攻击活动。研究专家表示,此次活动代号为“ATM cash-out”,网络犯罪分子在攻击了银行数据库或支付卡处理器之后,会对银行卡进行克隆,并在全球范围内的ATM机上进行取款操作,仅仅几个小时内他们就能够获取到数百万美金。
据知情人士透露,此次攻击活动将会在未来的几天内实施,而该活动与一个不知名的发卡机构发生数据泄露有关系。目前,美国联邦调查局已经私下跟各大银行进行了沟通,并做好了应对此次攻击方案。
美国联邦调查局表示,这种被称为“无限操作”的攻击方式需要利用恶意软件来感染金融机构或支付卡处理器,并以此来访问银行客户的银行卡数据以及银行内部网络系统,从而实现大规模地从ATM机上窃取现金。
联邦调查局的安全研究专家认为,除了大型银行之外,由于中小型金融机构缺乏一定的网络安全防护措施,因此这一类金融组织很可能也会受到此次攻击活动的牵连。而且更加重要的是,近期内这类攻击活动将会变得非常频繁。
攻击方法
一般来说,组织一个需要进行这类攻击的网络犯罪团伙,首先他们需要通过黑客入侵或网络钓鱼等方法访问到银行内部网络或支付卡处理器,在ATM上非法取款之前,攻击者会移除掉金融机构所部属的多种欺诈控制措施,比如说ATM机所限定的最大提款金额,以及对客户在ATM机上的交易操作次数等等。除此之外,攻击者还会通过修改账户余额和安全措施来实现“无限操作”的目的,这样一来,攻击者就能够在操作中得到“无线”的金额,并迅速从ATM机中取现了。
美国联邦调查局警告称:“网络犯罪分子通常会将盗取来的支付卡数据发送给该组织内的其他人,而这些人将要负责把窃取来的数据拷贝到伪造的磁条可重复使用的支付卡上,比如说在零售商店购买的礼品卡。接下来,他们会预先定一个时间,然后在预定的时间从ATM机中提款。”
攻击历史
了解,此次攻击活动(ATM cashout)将在周末启动,也就是在金融机构周六下班之后。就在上个月,KerbsOnSecurity就曾透露过一条信息:在2016年5月至2017年1月之间,当时就曾经出现过类似的攻击活动,当时攻击者成功地在两台单独的ATM机上,从布莱克斯堡国家银行账户中提取了240万美金。
在这两种攻击情况下,网络犯罪分子都曾尝试对布莱克斯堡国家银行的职员进行网络钓鱼攻击。当时,攻击者还成功入侵了目标银行所使用的借记卡客户账户管理系统。
在2016年时,针对国家银行的“无限操作”攻击开始于2016年5月28日,也就是星期六,并且整个攻击活动持续到了下一周的星期一。值得一提的是,当时的星期一是美国的阵亡将士纪念日,这也是美国的法定假日。也就是说,攻击者完成攻击之后的两天银行机构才正常营业。据统计,当时涉及到的经济财产损失达到了将近57万美金。
随后,在2017年的1月7日(星期六),这一个黑客组织又再次攻击了布莱克斯堡国家银行,而这一次他们成功地利用“无限操作”攻击在ATM机上提取了大约200万美金。
目前,美国联邦调查局正在敦促各大银行审查各自的系统安全状态,比如说本地管理员权限、关键业务角色和各种数字令牌等等,并且强制让用户开启复杂密码和双因素身份验证机制。
建议
美国联邦调查局给各大银行提供的建议如下:
- 实行责任分离或双重认证程序,对账户余额或提款数额进行阈值设定。
- 部署应用程序白名单,以阻止恶意软件的运行。
- 监控、审核和限制管理员以及业务关键账户的权限,对不必要的账户属性进行修改。
- 监控远程网络协议以及相关的管理工具,以防止攻击者通过Powershell、cobalt strike和Teamviewer等方式访问内部网络系统。
- 监控通过非标准端口发送的加密流量数据(SSL或TLS)。
- 监控金融机构所有的出站和入站流量。