针对ATM的攻击历史悠久,攻击者每年都会进一步提高感染ATM系统的能力,根据2017年至2019年数据分析,2020年ATM攻击又会有何变化?
数据分析
一次成功的ATM攻击可以获利数十万美元,与传统的金融威胁(例如网络钓鱼、欺诈网站)有所不同,ATM需要连接到公司内部网络,同时外部任何用户都能够访问它们,由此使得攻击方法不同于传统。
ATM还具有一些共同的特征,这些特征使它们特别容易受到攻击:
供应商为软件提供保修服务,如果未经ATM供应商批准进行更改,则供应商不再提供保修
使用过时的操作系统及应用程序,犯罪分子可以利用未修补的漏洞获得对内部的访问权限
选择人流密集的位置安放设备,但有些地方没有任何基本的安全保护
分析了过去三年来全球范围内的数据,过去三年中被攻击的ATM/PoS设备数量:
2017年
2017年受攻击设备地区分布:
2017年受攻击TOP10国家:
TOP10国家分布在全球各地,其中俄罗斯数量最多。 2017年研究人员发现名为“ ATMitch”的恶意软件,该恶意软件可获得ATM的远程访问控制。
2018年
2018年受攻击设备地区分布:
2018年受攻击TOP10国家:
2018年受攻击国家/地区仍分布在全球各地,与2017年相似,俄罗斯和巴西的攻击数量最高。
受影响设备数量总体增长,出现了新的ATM恶意软件家族:
2019年ATMJackpot最早于2016年在台湾出现。它感染了银行的内部网络,可以直接从ATM提取资金。 ATMJackpot能够访问数千个ATM。
WinPot于2018年初在东欧被发现,可使被感染的ATM自动转账。其执行与时间有关:如果目标系统的时间不在该恶意软件预设时间(例如3月)内,WinPot会保持静默。
Ice5起源于拉丁美洲,允许攻击者对受感染的ATM进行操纵,最初通过USB端口传播。
ATMTest通过控制台访问ATM,攻击者必须获得银行网络的远程访问权。
Peralta是ATM恶意软件Ploutus的变体,导致73,258台ATM被攻击,损失了64,864,864.00美元。
ATMWizX于2018年秋季被发现,可使被感染的ATM自动转账。
ATMDtruck也出现在2018年秋天,第一批受害者在印度。它利用受感染ATM收集信息,完成克隆。
2019年受攻击设备地区分布:
2019年受攻击TOP10国家:
过去的一年中,ATM/PoS恶意软件活动最高的前十个国家保持不变,受影响设备总数再次增加。2019年春季,ATM/PoS恶意软件活动达到新的水平。
趋势分析ATMgot可通过自动提款机在ATM上直接操作,提取允许的最大数量。该恶意软件还具有反取证技术,可从ATM删除感染痕迹以及视频文件。
ATMJadi起源于拉丁美洲,攻击者必须访问银行网络。
ATM/PoS恶意软件还会继续发展,目前已经发现WinPot,它于2018年首次发现,今年仍然活跃于世界各地。
拉丁美洲长期以来是网络犯罪分子技术创新发展的地区,最近发现ATM MaaS项目,攻击组织出售针对市面上主要ATM的恶意软件。表明ATM恶意软件仍在不断发展,网络犯罪分子不断开发出更好的攻击策略。除拉丁美洲外,欧洲和APAC地区国家是攻击者特别感兴趣的国家,ATM已经成为全球威胁。
对于金融机构而言,需要采取综合性防御措施:
评估攻击媒介,生成威胁模型
更新已过时操作系统和软件
定期进行ATM的安全评估,渗透测试,查找可能的网络攻击媒介
定期检查ATM物理安全
安装防护软件
PoS终端有许多不同之处需要注意并加以相应处理:
PoS终端可为攻击者提供更大的操作空间,需要多层保护
缺少像自动取款机的外部物理保护,更容易受到未经授权的直接攻击。
结合攻击场景,实施文件完整性监视和日志检查
安装Web网关或下一代防火墙,检测阻止未经请求的通信
*参考来源:securelist,由Kriston编译,转载请注明来自FreeBuf.COM
责任编辑: