俄罗斯黑客利用“反向ATM攻击”技术盗取近400万美元现金

根据俄罗斯数字情报公司Group-IB掌握的信息，俄罗斯网络罪犯使用了一种称为“反向ATM攻击（Reverse ATM Attack）”的技术，并成功地从至少五个不同的银行盗取了2.52亿卢布（合380万美元）。

什么是反向ATM攻击？

根据情报公司Group-IB的消息，攻击者通过使用ATM机，分别将金额5000、10000和30000卢布的钱存到合法的银行账户中，然后立刻提取相同金额的现金，并打印支付交易费用的收据。其中收据中的细节信息包括一个支付参考号和提取款项的数额，然后攻击者收据信息转移给另一个合作的黑客，而这个合作黑客能够远程访问受感染的POS终端，这些POS终端通常位于俄罗斯境外。

Forbes解释道，合作黑客将使用这些详细信息向一台POS终端发起一个逆转操作，这将导致POS终端认为提款被拒绝了，从而欺骗成千上万的美国和捷克POS终端。同时，银行这边看起来好像提取现金的操作被取消了，例如：当客户资金不足时，则同等数额的现金将被转移到攻击者的银行账户中，而这整个过程都使用了一种全球“钱骡（money mule）”网络。接下来，黑客将会重复这些步骤，直到目标ATM机中的现金被取完。

通过ATM攻击，黑客盗取了380万美元现金

Group-IB表示，该公司在五家不同的俄罗斯银行中已经观察到至少五起此类事件，这种犯罪活动开始于2014年夏天，并结束于2015年第一季度。黑客利用了俄罗斯国内信用卡交易所使用的取款、转款和验证阶段的漏洞，并设法绕过VISA和MasterCard推荐的检测（check）机制。

这里的“检测”的意思是：

1、当反向操作针对单一银行时，VISA提供的交易细节未被受影响的银行验证。
2、当ATM取款在一个国家进行，而取消或反向操作在另一个国家进行，那么同样会缺少某些验证。

Group-IB正与联邦当局深入调查整个洗钱事件。

*参考来源：SecurityAffairs、THN，FB小编JackFree编译