BlackHat 現場看駭客催吐 ATM ，十五分鐘可以噴出五萬美元

在世界頂級駭客聚會 BlackHat 上，從來不缺土豪。每一位站在台上分享的高手，都可以用自己身上的技術賺來大把的鈔票。不過，就在 BlackHat 臨近落幕的時候，迎來了一位真的土豪。因為他可以讓任何一台 ATM機吐出五萬美元，如果警察叔叔也同意的話。

▲Weston Hecker 和他的 ATM 機

Weston Hecker（威斯頓·駭客），這個姓「駭客」的人創造了本屆 BlackHat 參加人次最高的一場技術分享。大家都是為了見證 ATM 機「噴鈔」而來到現場的。

Weston Hecker 告訴「求知若渴」的觀眾，其實自己並不能憑空「催眠」ATM 機器，而是製造了一個小工具，這個工具需要預先被插進銀行卡入口。這樣，當不明真相的群眾使用這台 ATM 機的時候，這個小工具就會記錄下他的銀行卡和 ATM 機之間的交互資料，例如：銀行卡號和密碼。

▲Weston 展示截獲密碼所用的硬體

由於內建訊號發射的模組，駭客可以在受害者輸入密碼的瞬間就獲得這些資料，駭客和受害者的距離甚至可以達到400英里。在實際操作中這一點很重要，它充分保障了駭客不會被受害者追殺。

▲La-Cara

獲得銀行卡的資料之後，駭客就可以開始對 ATM 機的攻擊了。通過一整套被他稱為「La-Cara」的裝置，可以繞過最新 ATM 的反欺騙防護，最終讓 ATM 機徹底昏迷，噴出錢來。

確切地說，ATM機中的錢不是噴出來，而是一張張淌出來。

Weston 說，「La-Cara」利用 ATM 的漏洞，一般可以領取現金 20000 或 50000 美元。而整套設備的造價大概是 2000 美元。這筆買賣有多划算，毋庸置疑。

▲散落滿地的鈔票

當他現場演示 ATM 吐鈔票的時候，情況是這樣的。看到錢之後，駭客們的身體都是很誠實的。

然而 Weston 宣佈了一個「壞消息」：他已經把這些漏洞提交給了 ATM 機生產廠商。也就是說，即使有其他人掌握這個漏洞，也無法在真實場景中重現這個攻擊了。

看到這裡，是不是覺得跟第一銀行 ATM 吐鈔案好像有點雷同？事實上，六年前的黑客大會一樣有人表演讓ATM自己吐錢。在美國西雅圖資訊安全測試公司（IOActive Labs）任職的主管傑克（Barnaby Jack）在2010年7月28日於拉斯維加斯舉辦的「黑帽」（Black Hat）電腦安全會議上，將兩台ATM搬上台，現場示範「Jackpotting」的技法，ATM不斷吐出鈔票，在地上堆成一座小山。雖然ATM的網路與一般網路沒有交集，但只要透過一點手法，ATM自然成為駭客獵鈔的利器。