ATM机会吞钱吗 [“黑掉”ATM的机会]

  虽然标题很惊耸,但是千万不要照着学。不过对于银行ATM机的安全性,了解是必须的。      要“黑”银行的ATM有两条路:编个恶意程序,直接骗过柜员机上那个漏洞百出的Windows系壳;或者先“黑”银行的后台系统,盗取客户信息之后再大模大样到ATM机取钱。这两条路,现在都有得走。
  从ATM机的工作原理可以看到,ATM机通过主处理机验证了用户的身份,就会根据口令从钞箱中“吐”钱给用户。“出钞口连接了ATM机的钞箱,这是ATM的核心,大多数小型ATM机的整个底部都是容纳现金的钞箱。”大的ATM机一般有4至5个钞箱,每个钞箱里容纳20万至25万元不等的钞票,而小的ATM机也能容纳10万元左右的钞票。
  2007年,一个叫许霆的小伙子彻底搅动了ATM机的神经:键入1块钱却吐出了1000元。最终,许霆被判有期徒刑5年,并处罚金2万元。ATM机是怎么出错的?
  这种情况下ATM机的硬件没有问题,而是它本身的运行程序出错了,“这种错误就像运行的QQ、Office这些跑特定应用的程序出错一样。所谓特定程序,就是在连接了后台银行数据库通讯之后,再根据用户操作存钱取钱的实际处理程序。具体是什么错误,这个就需要银行对ATM机进行检查了。”许霆案之后,当事的ATM机生产厂家广电运通宣称“当时ATM机在进行软件的升级”,“就像电脑在升级时发生错误一样,许霆当时用的ATM机也发生错误,吐出的钱和银行发送的支付口令默认的金额发生了偏差,这种偏差只能在银行和ATM机对账的时候发现。”
  美国也曾经发生过类似的案件,有些人输入100美元,吐出来的是1000美元。但除了ATM机自身运行出错,也可以给它安装一个恶意程序欺骗ATM机。在银行主处理机发送支付口令给ATM机的过程中,如果在数据包还未到达ATM机之前,恶意程序以更快的速度拦截口令并修改程序,就可以将修改后的支付口令发送给ATM机,让它乖乖听话,吐出更多的钞票。
  最近,安全厂商Trustwave就提示那些运行Windows XP的ATM机银行,再一次检查机器有无受到黑客安装的恶意软件的感染,Trustwave方面警示说,当黑客将一个“触发卡”插入ATM机时,被控制的恶意软件通过GUI(图形用户界面)显示,触发卡会打开一个小窗口,显示出10个命令选项,犯罪分子有10秒的时间使用ATM机的键盘从中选择一个命令,包括允许ATM机吐出钞箱里的所有现金。
  不过,目前ATM所遭遇的攻击都来自互联网,一个可能的解决办法是,银行系统专网专用,购买或者参股网络安全公司,建立专用的金融网络。
  
  (摘自《新知客》杂志)