兩名餐飲人員告訴你入侵取款機拿現金竟是如此簡單
責編:admin |2014-11-20 14:46:39美國一位小餐館的店主在18個月里通過ATM柜員機取了40萬美元,但這些錢不是他的。
這位名為法塔赫的店主和他的同伙克里斯·弗萊得,面臨30項計算機欺詐和密謀罪名。他們用特定的按鍵順序重新配置ATM,讓機器認為吐的是1美元而不是20美元。也就是說給取款機輸入取20美元的指令,實際上取了400美元,凈嫌380美元。
這是一起針對低端取款機實施盜竊的成功入侵案例。已過世的黑客巴拿比·杰克曾在2010年的黑客大會上演示過讓Tranzx和Trident兩種品牌的取款機吐鈔。前者通過遠程撥號,后者通過打開取款機的外殼蓋然后利用USB口對取款機重新編程。之后兩個廠家都補上了漏洞。
但法塔赫他們入侵的取款機卻并不需要黑客軟件或物理工具。這些街頭的低端取款機通過在鍵盤上以特定的順序按鍵,就可以將其設置成“操作員模式”。在此模式下可以改變機器往吐鈔盒里放鈔的面額,即機器認為自己放的是1美元的鈔票,而實際上放進去的是20美元鈔。
保護操作員模式的是一個6位數字口令,但法塔赫是運營這些取款機公司的前雇員,因此知道這個口令。 法塔赫找到他的朋友弗萊德一起干這件事。2009年1月,他們第一次開始行動。他們先是用6位的數字口令更改了吐鈔盒里的鈔票面額,然后取出鈔票,最后再把機器改回正常的設置。之后,他們不斷的重復這一方法,到2010年3月,共盜竊了40萬美元。
這兩位所謂的“黑客”還犯下了愚蠢的錯誤,比如取款時在攝像頭前留下自己的“倩影”,而且還使用的是自己真實身份的銀行卡。 40萬美金并不算多,但問題在于許多其他的竊賊也在使用這種辦法從取款機中偷錢。他們不像法塔赫那樣知道內部的信息,也不會蠢到使用自己的銀行卡。
早在2005年,就有人發現了Tranax和Trident取款機的默認主口令直接印在了服務手冊中。并且在網上可以輕易查到這個手冊,主口令是“123456”。 一些知道此事的企業業主立刻更改了默認的主口令,但許多小企業并沒有這樣做。于是導致了數字空間史上罕見的一段時期,黑客犯罪如同街頭犯罪一樣的簡單,并默默的進行了至少18個月。到了2006年,一個在加油站從ATM上偷錢的人被抓,最終引爆此事。隨即在新聞媒體的推動下,默認口令一事才出現在大眾面前。 Tranax和Trident隨即更改了新生產的取款機的默認配置,這些新機器在第一次使用時都需要重新設置密碼。然而,已經放置在各商業點的取款機,卻仍然有著巨大風險,之后又相繼發生了一些這樣的事情。2007年,一個穿著短褲拖鞋的人從賓西法尼亞的一家便利店取款機中盜走了1540美元。2008年,2個21歲的年經人從內布拉斯加的一個連鎖零售店分3次取走了1400美元。2010年,北卡羅萊納一家雜貨店的職員戴著假發“拜訪”了30臺ATM,但最終由于同事告發,被警方抓獲。此人被判入獄37個月。
現在,從取款機中盜走現鈔的事情似乎非常罕見,但公眾很難知道真實情況,畢竟金融機構極端避諱談起這類事情。但操作員口令這樣的事還在發生。今年6月,加拿大溫尼伯市兩名14歲少年的參照網上的取款機服務手冊操控了當地一家商店的取款機,他們猜出了取款機的6位操作員口令,清楚地看到這臺機器里還剩下多少現金、當天的每一筆交易記錄,包括銀行卡信息、取款額等等。兩位少年把發現的漏洞報告給了銀行,銀行立刻更改了口令。 但這種正直的少年黑客又有多少呢?