其他

BlackHat 現場看駭客催吐 ATM ,十五分鐘可以噴出五萬美元

在世界頂級駭客聚會 BlackHat 上,從來不缺土豪。每一位站在台上分享的高手,都可以用自己身上的技術賺來大把的鈔票。不過,就在 BlackHat 臨近落幕的時候,迎來了一位真的土豪。因為他可以讓任何一台 ATM機吐出五萬美元,如果警察叔叔也同意的話。


▲Weston Hecker 和他的 ATM 機

Weston Hecker(威斯頓·駭客),這個姓「駭客」的人創造了本屆 BlackHat 參加人次最高的一場技術分享。大家都是為了見證 ATM 機「噴鈔」而來到現場的。

Weston Hecker 告訴「求知若渴」的觀眾,其實自己並不能憑空「催眠」ATM 機器,而是製造了一個小工具,這個工具需要預先被插進銀行卡入口。這樣,當不明真相的群眾使用這台 ATM 機的時候,這個小工具就會記錄下他的銀行卡和 ATM 機之間的交互資料,例如:銀行卡號和密碼。


▲Weston 展示截獲密碼所用的硬體

由於內建訊號發射的模組,駭客可以在受害者輸入密碼的瞬間就獲得這些資料,駭客和受害者的距離甚至可以達到400英里。在實際操作中這一點很重要,它充分保障了駭客不會被受害者追殺。


▲La-Cara

獲得銀行卡的資料之後,駭客就可以開始對 ATM 機的攻擊了。通過一整套被他稱為「La-Cara」的裝置,可以繞過最新 ATM 的反欺騙防護,最終讓 ATM 機徹底昏迷,噴出錢來。

確切地說,ATM機中的錢不是噴出來,而是一張張淌出來。

Weston 說,「La-Cara」利用 ATM 的漏洞,一般可以領取現金 20000 或 50000 美元。而整套設備的造價大概是 2000 美元。這筆買賣有多划算,毋庸置疑。


▲散落滿地的鈔票

當他現場演示 ATM 吐鈔票的時候,情況是這樣的。看到錢之後,駭客們的身體都是很誠實的。

然而 Weston 宣佈了一個「壞消息」:他已經把這些漏洞提交給了 ATM 機生產廠商。也就是說,即使有其他人掌握這個漏洞,也無法在真實場景中重現這個攻擊了。

看到這裡,是不是覺得跟第一銀行 ATM 吐鈔案好像有點雷同?事實上,六年前的黑客大會一樣有人表演讓ATM自己吐錢。在美國西雅圖資訊安全測試公司(IOActive Labs)任職的主管傑克(Barnaby Jack)在2010年7月28日於拉斯維加斯舉辦的「黑帽」(Black Hat)電腦安全會議上,將兩台ATM搬上台,現場示範「Jackpotting」的技法,ATM不斷吐出鈔票,在地上堆成一座小山。雖然ATM的網路與一般網路沒有交集,但只要透過一點手法,ATM自然成為駭客獵鈔的利器。

臉書留言 Comments

臉書留言 Comments

Previous post

更新檔2.4.2再開挑戰!《暗黑破壞神III》第七賽季即將到來

Next post

臉書設立硬體實驗室整合VR、資料中心及聯網計畫產品研發

The Author

Amola

Amola

XFastest 採訪編輯,目前負責粉絲團管理,產品評測等職務,歡迎大家一起討論科技。