什么是ATM Jackpotting攻击以及它是如何工作的？

如果您经常使用ATM机，您可能会听过“jackpotting”这个词。尽管这种行为已经存在一段时间，但是在欧洲和亚洲，jackpotting已经成为一种越来越流行的黑客手段。

那么什么是ATM jackpotting？黑客究竟是如何进行这种攻击的呢？

ATM jackpotting是检测和利用自动取款机（ATM）的漏洞。这些jackpotting操作旨在迫使机器将其储备的现金全部取出。

如果黑客成功，他们可以带走ATM中的所有资金。从技术上讲，这些资金并不属于任何账户，所以通常情况下，银行的客户不用承担这些攻击的后果。

主要目标是位于零售店或远离银行场所的独立ATM。Jackpotting需要与机器进行物理连接，因此黑客通常会冒充技术专家或安保人员的身份，以避免遭到阻碍。

第一次jackpotting攻击可能发生在2018年1月。美国特勤局在一份新闻稿中警告金融和执法机构关于ATM的这种攻击。通过他们电子犯罪特别行动组（ECTF）的合作伙伴，他们获得了关于计划在美国发动jackpotting攻击的可靠情报。

对于ATM jackpotting操作，您需要物理接触ATM并拥有一个非法设备。非法设备是一种无线硬件攻击工具，如便携式计算机，它没有权限访问网络，但存在于造成损害、窃取信息和干扰网络正常运行的目的。

一旦威胁行为者成功访问ATM的内部计算机，他们就会移除硬盘并卸载任何存在的防病毒软件。没有防病毒软件后，黑客就可以安装他们的恶意软件，替换硬盘，并重新启动ATM。jackpotting操作通常需要不超过一分钟的时间。

ATM jackpotting有两种主要形式。

基于恶意软件的jackpotting
这种形式的jackpotting利用USB设备。该设备通常装载着恶意软件，并插入ATM的USB接口。这种恶意软件会强制ATM机器发放现金，黑客来取走这些现金。

即使安装了恶意软件，其他客户仍然可以使用ATM，并且机器会正常运行。但是在黑客激活恶意软件后，ATM会开始将现金发放给等待的“运输人员”，他们在ATM和黑客之间充当中间人。

当资金准备好被取走时，黑客会派遣参与此操作的人员。通常，位于场外的ATM只有闭路电视摄像头作为安全措施，这意味着威胁行为者及其合伙人只需隐藏身份或避免露面。

这种基于恶意软件的现金分配不会反映任何银行账户上的取款交易。著名的jackpotting恶意软件包括“Ploutus.D”，它有各种修改版本，可以在80个国家的40多个ATM供应商的ATM机上无缝运行。

黑盒可以以两种不同的方式使用。第一种方式是模仿ATM的内部计算机，直接连接到出钞器，并命令其吐出现金。

另一种方法是插入网络电缆并获取持卡人信息。这些信息通常在ATM和负责处理交易过程的交易中心之间传递。

所有ATM都有允许每笔交易或每位客户取款的最大限额，但黑盒攻击则伪装成主机系统，并迫使ATM立即释放所有现金。

不论是银行还是客户都可以采取预防措施来防止ATM jackpotting。

对于客户来说，现实情况是，您几乎无法防止jackpotting。但是以下几点建议可能会有所帮助。

最重要的是只使用著名金融机构拥有的ATM机，避免使用普通商业、商场和零售店拥有的ATM机。因为顶级机构的ATM机比赌场或超市前面的独立ATM机具有更好的安全系统。

另一点需要注意的是，在ATM机队列中站在您身后的人可能只是在寻找要窃取的资金的威胁行为者。在开始交易之前，请确保在输入密码时盖住键盘。

此外，每月查看银行对账单以检查是否存在未经授权的交易，并向相关部门报告任何异常交易。

希望避免此类攻击的银行应确保ATM上的防病毒程序和其他安全软件是最新的。此外，建议禁用ATM机上的“自动启动和引导”功能，因为这是黑客利用的一个漏洞。

应监控ATM机的异常活动，例如来自空账户的大额现金请求以及某个特定ATM机多次登录失败尝试，因为它可能是jackpotting的目标。

最重要的是，在银行境外ATM机旁边设有安全人员，他们将防止非法接近取款机。

除了这些措施外，还要采取物理措施，如为ATM机的机柜添加锁和报警装置。这对于想要进入机器内部以移除其硬盘的黑客来说是必要的。

ATM jackpotting是一种网络犯罪形式，由于其简单性和可能的高额回报，受到威胁行为者的青睐。它对金融行业构成严重威胁，可能对被攻击的机构、客户和公司产生严重影响。

这些群体需要通过实施最新的安全措施并定期检查其ATM机是否存在篡改或恶意软件感染等迹象来保护自己免受此类攻击。