摘要:駭客神技 破解銀行取款機令其吐鈔 破解率100%
【李寧怡、林巧雁╱綜合報導】一年一度的全美駭客大會(Black Hat USA)前天在拉斯維加斯登場,最受期待的重頭戲之一,就是由駭客轉型美國資訊安全專家的傑克展示如何駭入自動櫃員機(ATM)取鈔。傑克用兩種方法,讓ATM吐出全部鈔票,凸顯ATM的安全漏洞。
過去歹徒對ATM的下手方式,多為安裝假讀卡機或隱藏式攝影機,以竊取提款卡帳號密碼。任職於西雅圖資訊安全公司IOActive Inc.的傑克(Barnaby Jack)費時兩年,研究多台網路上買來的ATM,發現更容易得手的方法。這些ATM都是獨立型(standalone)機種,但他的方法也可能適用於銀行用的機種。
遠端遙控免輸入密碼
傑克發現,同一製造商生產的同型ATM,鑰匙全一樣。他用在網路上買到的鑰匙打開一台ATM,將隨身碟插入ATM的USB插槽,灌入他寫的惡意程式後,再操作ATM,指示ATM吐出全部鈔票。傑克還展示透過網路遠端駭入另一台ATM的方法。使用此法須先得知ATM網路位址或電話號碼,就可不必輸入密碼,迫使ATM吐鈔。他不願透露詳情,因為「目的不是要教人如何駭入ATM」,但警告這種方式更危險,因為還可取得ATM使用者帳戶資料。
傑克的神乎其技讓觀眾掀起如雷掌聲。他事前已通知兩台ATM製造商,製造商已改善軟體,防止其他駭客用同樣方法犯案。原本他去年就要展示神技,但因ATM製造商來不及採取行動,才延至今年發表。傑克說,他一開始不認為自己真能駭入ATM,沒想到「研究的每一台ATM,都能被我找到弱點,這很恐怖。」
防毒軟體商卡巴斯基(KASPERSKY)資深研究員包姆加納(Kurt Baumgartner)說,傑克的示範表演「很驚悚」,不過他未公開惡意程式碼,且一般銀行使用的ATM系統和獨立ATM不同,不會導致ATM遭駭客廣泛攻擊。
安迪兒:網路可以買來ATM也真是夠猛的 ^^
好想也弄一台來玩玩吐鈔,看到鈔票滿天飛應該很開心(學一下賭俠)