針對ATM的攻擊歷史悠久，攻擊者每年都會進一步提高感染ATM系統的能力，根據2017年至2019年數據分析，2020年ATM攻擊又會有何變化？

數據分析

一次成功的ATM攻擊可以獲利數十萬美元，與傳統的金融威脅（例如網絡釣魚、欺詐網站）有所不同，ATM需要連接到公司內部網絡，同時外部任何用戶都能夠訪問它們，由此使得攻擊方法不同於傳統。

ATM還具有一些共同的特徵，這些特徵使它們特別容易受到攻擊：

供應商爲軟件提供保修服務，如果未經ATM供應商批准進行更改，則供應商不再提供保修

使用過時的操作系統及應用程序，犯罪分子可以利用未修補的漏洞獲得對內部的訪問權限

選擇人流密集的位置安放設備，但有些地方沒有任何基本的安全保護

分析了過去三年來全球範圍內的數據，過去三年中被攻擊的ATM/PoS設備數量：

2017年

2017年受攻擊設備地區分佈：

2017年受攻擊TOP10國家：

TOP10國家分佈在全球各地，其中俄羅斯數量最多。 2017年研究人員發現名爲“ ATMitch”的惡意軟件，該惡意軟件可獲得ATM的遠程訪問控制。

2018年

2018年受攻擊設備地區分佈：

2018年受攻擊TOP10國家：

2018年受攻擊國家/地區仍分佈在全球各地，與2017年相似，俄羅斯和巴西的攻擊數量最高。

受影響設備數量總體增長，出現了新的ATM惡意軟件家族：

ATMJackpot最早於2016年在臺灣出現。它感染了銀行的內部網絡，可以直接從ATM提取資金。 ATMJackpot能夠訪問數千個ATM。
WinPot於2018年初在東歐被發現，可使被感染的ATM自動轉賬。其執行與時間有關：如果目標系統的時間不在該惡意軟件預設時間（例如3月）內，WinPot會保持靜默。
Ice5起源於拉丁美洲，允許攻擊者對受感染的ATM進行操縱，最初通過USB端口傳播。
ATMTest通過控制檯訪問ATM，攻擊者必須獲得銀行網絡的遠程訪問權。
Peralta是ATM惡意軟件Ploutus的變體，導致73,258臺ATM被攻擊，損失了64,864,864.00美元。
ATMWizX於2018年秋季被發現，可使被感染的ATM自動轉賬。
ATMDtruck也出現在2018年秋天，第一批受害者在印度。它利用受感染ATM收集信息，完成克隆。

2019年

2019年受攻擊設備地區分佈：

2019年受攻擊TOP10國家：

過去的一年中，ATM/PoS惡意軟件活動最高的前十個國家保持不變,受影響設備總數再次增加。2019年春季，ATM/PoS惡意軟件活動達到新的水平。

ATMgot可通過自動提款機在ATM上直接操作，提取允許的最大數量。該惡意軟件還具有反取證技術，可從ATM刪除感染痕跡以及視頻文件。
ATMJadi起源於拉丁美洲，攻擊者必須訪問銀行網絡。

趨勢分析

ATM/PoS惡意軟件還會繼續發展，目前已經發現WinPot，它於2018年首次發現，今年仍然活躍於世界各地。

拉丁美洲長期以來是網絡犯罪分子技術創新發展的地區，最近發現ATM MaaS項目，攻擊組織出售針對市面上主要ATM的惡意軟件。表明ATM惡意軟件仍在不斷發展，網絡犯罪分子不斷開發出更好的攻擊策略。除拉丁美洲外，歐洲和APAC地區國家是攻擊者特別感興趣的國家，ATM已經成爲全球威脅。

對於金融機構而言，需要採取綜合性防禦措施：

評估攻擊媒介，生成威脅模型

更新已過時操作系統和軟件

定期進行ATM的安全評估，滲透測試，查找可能的網絡攻擊媒介

定期檢查ATM物理安全

安裝防護軟件

PoS終端有許多不同之處需要注意並加以相應處理：

PoS終端可爲攻擊者提供更大的操作空間，需要多層保護

缺少像自動取款機的外部物理保護，更容易受到未經授權的直接攻擊。

結合攻擊場景，實施文件完整性監視和日誌檢查

安裝Web網關或下一代防火牆，檢測阻止未經請求的通信

*參考來源：securelist，由Kriston編譯，轉載請註明來自FreeBuf.COM

相關文章