黑客称“头注”漏洞欺骗了受欢迎的自动取款机吐出现金

2020-08-07 00:03:55

在杰克的重磅炸弹演示十年后,安全研究人员提出了鹦鹉螺自动取款机中的两个新漏洞,尽管是虚拟的,这要归功于冠状病毒的流行。

纽约安全公司红气球(Red Balloon)的安全研究员布伦达·苏(Brenda So)和特雷·基恩(Trey Keown)表示,他们的这两个漏洞让他们能够欺骗广受欢迎的独立零售自动取款机(ATM机),让它根据自己的指令发放现金。

黑客需要与自动取款机在同一个网络上,这使得发动成功的头注攻击变得更加困难。但他们的发现突显出,自动取款机通常有潜伏多年的漏洞-在某些情况下,从它们第一次建造以来就是如此。

So和Keown表示,他们的新漏洞针对的是Nautilus ATM的底层软件,这是微软不再支持的10年前的Windows版本。首先,两人买了一台自动取款机进行检查。但由于几乎没有文档,这两个人不得不对内部的软件进行反向工程,以了解它是如何工作的。

第一个漏洞是在被称为XFS(或金融服务扩展)的软件层中发现的,ATM使用该层与其各种硬件组件通信,如读卡器和现金分配单元。问题不在于XFS本身,而在于ATM机制造商如何将软件层实现到其ATM机中。基恩告诉TechCrunch,研究人员发现,通过网络发送巧尽心思的恶意请求可以有效地触发自动取款机的提款机,并将现金倾倒在里面。

第二个漏洞是在自动取款机的远程管理软件中发现的,这是一个内置的工具,让车主可以通过更新软件和检查还剩多少现金来管理他们的自动取款机机队。触发该漏洞将允许黑客访问易受攻击的自动取款机的设置。

所以告诉TechCrunch,有可能将自动取款机的支付处理器换成恶意的、由黑客控制的服务器,以虹吸银行数据。“通过将自动取款机指向恶意服务器,我们可以提取信用卡号码,”她说。

彭博社去年首次报道了这些漏洞,当时研究人员私下向鹦鹉螺报告了他们的发现。据彭博社报道,在修复之前,美国约有8万台鹦鹉螺自动取款机存在漏洞。我们联系了鹦鹉螺,询问了一些问题,但没有得到回复。

成功的头彩攻击是罕见的,但也不是闻所未闻的。近年来,黑客使用了许多技术。2017年,一个活跃的头奖组织被发现在欧洲各地活动,净赚数百万欧元现金。

最近,黑客从自动取款机制造商那里窃取了专有软件,以建立自己的大奖工具。

通过Signal和WhatsApp安全发送提示至+1 646-755-8849或发送加密电子邮件至:[email protected]