賽門鐵克：新駭客手法 以手機簡訊便可令ATM自動吐錢

賽門鐵克 (Nasdaq: SYMC) 發現，正當微軟宣布 Windows XP 的支援服務即將至 2014 年 4 月 8 日之際，全球超過九成五仍在使用 Windows XP 系統的 ATM 正面臨著空前的危機，這些危機已經不再是假設，而已實際在各國發生，最新的惡意程式甚至可以用簡訊（SMS），便可下達指令，使理應安全防備的 ATM 自動吐出現金。



2013 年底，賽門鐵克公布名為 Backdoor.Ploutus 的惡意軟體，可使用外部鍵盤輕鬆取得 ATM 中的現金，幾個禮拜後，此惡意軟體便已出現許多變種，並從原本墨西哥文版本翻譯為英文版本（命名為 Backdoor.Ploutus.B），證明影響區域正向英語系國家蔓延。

Ploutus 惡意程式至今演變成各種形態，利用 ATM 的無防備電腦，達成取得存於保險庫中的現金、偷取提款人的卡片資訊與密碼或中間人攻擊（Man-in-the-middle Attack）等各種不同的目的。

「大部分的 ATM 都僅把機器中的現金鎖於特製的保險庫中，卻忽略了執行電腦的實體保護。為了協助仍使用 Windows XP 系統的金融業夥伴爭取更多時間，賽門鐵克資料中心安全（原賽門鐵克 Critical System Protection）提供實體與虛擬資料中心之伺服器防護，主機型入侵偵測 (HIDS) 與入侵預防 (HIPS) 可提供通過實證且全方位的伺服器安全解決方案來防止如 Ploutus 惡意程式的侵入。」

台灣賽門鐵克技術顧問協理孫秀婷表示：「但我們仍強烈建議客戶 Windows 升級至最新版本，因為就算是最新、最全面的防護措施，若在無法獲得病毒更新碼的作業系統上使用，同樣無法給予裝置最完善的保護。」

Ploutus ATM 攻擊手法

• 攻擊者將 Ploutus 惡意程式安裝於 ATM 中，並使用 USB 傳輸線連結一支手機於機器裡。（手機可從 ATM 的電腦中取得無限量的電源供應）
• 攻擊者傳送兩則簡訊於機器中的手機以啟動 ATM 中的 Ploutus 惡意程式。
  • 簡訊一包含一個啟動 Ploutus 惡意程式的有效 ID。
  • 簡訊二以一個有效指令要求吐出現金。
• 當機器中的手機接獲正確的簡訊指令後，便會將指令以 TCP 或 UDP 協定組方式傳至 ATM。
• 一旦 ATM 的電腦接獲此通訊協定組並認證成功，Ploutus 惡意程式便會在 ATM 電腦中啟動。
• 最終，Ploutus 惡意程式一旦認證簡訊二所傳達的有效指令後，便會要求 ATM 從保險庫中吐出現金。

賽門鐵克建議的預防措施

• 升級執行系統至 Windows 7 或 Windows 8 系統。
• 提供 ATM 適當的防護措施，如 CCTV 監視系統。
• 鎖定 BIOS，並防止從未經授權的 CD 或 USB 啟動。
• 使用硬碟加密以防止硬碟遭串改。
• 使用系統防護軟體，例如賽門鐵克資料中心安全（Symantec Data Center Security: Server Advanced，原 Critical System Protection）。

水杉而 於 2015-05-25 09:06:50 修改文章內容