美國聯邦金融機構審查委員會(Federal Financial Institutions Examination Council,FFIEC)指出,駭客入侵中小型金融機構所用的ATM控制台(control panels)並詐領現金的案例愈來愈多,希望金融機構小心提防。
此一警告與美國特勤局(United States Secret Service)去年揭露的「無限行動Unlimited Operations」有關。駭客先發動網路攻擊以存取金融機構網站的ATM控制台,並竄改使用者所設定的提領額度,或提領地域等限制,同時以偷來的客戶簽帳卡、預付卡,或提款卡帳號資訊製造偽卡,再自實體ATM盜領現金。由於額度及地域的限制都被取消,使得駭客得以無限制在全球提領甚至超過存款金額的現金,因而被稱為無限行動。
在最近一次透過該手法進行攻擊的行動中,駭客僅以12個簽帳卡帳號就在全球盜領超過4000萬美元金額。
這是一套非常精密的攻擊手法,駭客可能先以網釣手法入侵金融機構的內部網路,然後取得ATM控制台的登入憑證,再竄改ATM控制台有關安全或內部控制的各種設定。另一方面,駭客還得透過於POS系統安裝病毒以竊取金融卡用戶的帳號資訊以製造偽卡,然後集中在4小時至2天內盜領大量的金錢,而且通常選擇在銀行管制較寬鬆的周末或假日時段進行。
美國電腦緊急應變小組US-CERT曾於今年1月初警告,駭客早就鎖定存於POS系統上的消費者資料,而近來發生的幾起重大資料外洩案件也都於POS系統有關,包括零售業者Target有逾1億筆用戶資料外洩、精品百貨Neiman Marcus也有客戶的信用卡資訊外洩,還有數家同樣遭到攻擊的零售商未浮上檯面。
FFIEC表示,不論是簽帳卡、預付卡,或提款卡銀行都面臨來自無限行動的多種風險,因而要求金融機構要確實執行各項防範措施,包括持續進行資訊安全風險評估、執行安全監控/預防/風險減輕計畫、避免非授權的系統存取、定期針對重要系統進行控制測試、執行資訊安全警覺與訓練計畫,以及測試意外回應計畫等。
留言列表