根據(jù)俄羅斯數(shù)字情報(bào)公司Group-IB掌握的信息,俄羅斯網(wǎng)絡(luò)罪犯使用了一種稱為“反向ATM攻擊(Reverse ATM Attack)”的技術(shù),并成功地從至少五個(gè)不同的銀行盜取了2.52億盧布(合380萬(wàn)美元)。
什么是反向ATM攻擊?
根據(jù)情報(bào)公司Group-IB的消息,攻擊者通過使用ATM機(jī),分別將金額5000、10000和30000盧布的錢存到合法的銀行賬戶中,然后立刻提取相同金額的現(xiàn)金,并打印支付交易費(fèi)用的收據(jù)。其中收據(jù)中的細(xì)節(jié)信息包括一個(gè)支付參考號(hào)和提取款項(xiàng)的數(shù)額,然后攻擊者收據(jù)信息轉(zhuǎn)移給另一個(gè)合作的黑客,而這個(gè)合作黑客能夠遠(yuǎn)程訪問受感染的POS終端,這些POS終端通常位于俄羅斯境外。
Forbes解釋道,合作黑客將使用這些詳細(xì)信息向一臺(tái)POS終端發(fā)起一個(gè)逆轉(zhuǎn)操作,這將導(dǎo)致POS終端認(rèn)為提款被拒絕了,從而欺騙成千上萬(wàn)的美國(guó)和捷克POS終端。同時(shí),銀行這邊看起來好像提取現(xiàn)金的操作被取消了,例如:當(dāng)客戶資金不足時(shí),則同等數(shù)額的現(xiàn)金將被轉(zhuǎn)移到攻擊者的銀行賬戶中,而這整個(gè)過程都使用了一種全球“錢騾(money mule)”網(wǎng)絡(luò)。接下來,黑客將會(huì)重復(fù)這些步驟,直到目標(biāo)ATM機(jī)中的現(xiàn)金被取完。
通過ATM攻擊,黑客盜取了380萬(wàn)美元現(xiàn)金
Group-IB表示,該公司在五家不同的俄羅斯銀行中已經(jīng)觀察到至少五起此類事件,這種犯罪活動(dòng)開始于2014年夏天,并結(jié)束于2015年第一季度。黑客利用了俄羅斯國(guó)內(nèi)信用卡交易所使用的取款、轉(zhuǎn)款和驗(yàn)證階段的漏洞,并設(shè)法繞過VISA和MasterCard推薦的檢測(cè)(check)機(jī)制。
這里的“檢測(cè)”的意思是:
1、當(dāng)反向操作針對(duì)單一銀行時(shí),VISA提供的交易細(xì)節(jié)未被受影響的銀行驗(yàn)證。
2、當(dāng)ATM取款在一個(gè)國(guó)家進(jìn)行,而取消或反向操作在另一個(gè)國(guó)家進(jìn)行,那么同樣會(huì)缺少某些驗(yàn)證。
Group-IB正與聯(lián)邦當(dāng)局深入調(diào)查整個(gè)洗錢事件。