根据俄罗斯数字情报公司Group-IB掌握的信息,俄罗斯网络罪犯使用了一种称为“反向ATM攻击(Reverse ATM Attack)”的技术,并成功地从至少五个不同的银行盗取了2.52亿卢布(合380万美元)。 什么是反向ATM攻击? 根据情报公司Group-IB的消息,攻击者通过使用ATM机,分别将金额5000、10000和30000卢布的钱存到合法的银行账户中,然后立刻提取相同金额的现金,并打印支付交易费用的收据。其中收据中的细节信息包括一个支付参考号和提取款项的数额,然后攻击者收据信息转移给另一个合作的黑客,而这个合作黑客能够远程访问受感染的POS终端,这些POS终端通常位于俄罗斯境外。 Forbes解释道,合作黑客将使用这些详细信息向一台POS终端发起一个逆转操作,这将导致POS终端认为提款被拒绝了,从而欺骗成千上万的美国和捷克POS终端。同时,银行这边看起来好像提取现金的操作被取消了,例如:当客户资金不足时,则同等数额的现金将被转移到攻击者的银行账户中,而这整个过程都使用了一种全球“钱骡(money mule)”网络。接下来,黑客将会重复这些步骤,直到目标ATM机中的现金被取完。 通过ATM攻击,黑客盗取了380万美元现金 Group-IB表示,该公司在五家不同的俄罗斯银行中已经观察到至少五起此类事件,这种犯罪活动开始于2014年夏天,并结束于2015年第一季度。黑客利用了俄罗斯国内信用卡交易所使用的取款、转款和验证阶段的漏洞,并设法绕过VISA和MasterCard推荐的检测(check)机制。 这里的“检测”的意思是: 1、当反向操作针对单一银行时,VISA提供的交易细节未被受影响的银行验证。
2、当ATM取款在一个国家进行,而取消或反向操作在另一个国家进行,那么同样会缺少某些验证。 Group-IB正与联邦当局深入调查整个洗钱事件。 *参考来源:SecurityAffairs、THN,FB小编JackFree编译 |