标记为“atms”的条目

第1页共4页

针对我们ATM的jackpotting攻击

Brian Krebs是报告对我们自动取款机的复杂的jackpotting攻击。攻击者获得对ATM的物理访问权,使用专门的电子设备处理恶意软件,然后返回并强制机器分配所有的现金。

特勤处的警报解释说,攻击者通常使用内窥镜——细长的,传统上医学上使用的一种灵活的仪器,能让医生看到人体内部——定位收银机的内部,在那里他们可以连接一根绳子,使他们能够将笔记本电脑与自动取款机的计算机同步。

“一旦完成,自动取款机由欺诈者控制,并且对潜在客户来说,自动取款机将不再提供服务。”阅读机密特勤处警报。

在这一点上,安装该恶意软件的骗子将与能够远程控制自动取款机的同谋取得联系,并迫使这些机器分发现金。

“在以前的普劳图斯.d攻击中,自动取款机以每23秒40张钞票的速度连续地分配。警报继续。一旦分配周期开始,停止它的唯一方法是按键盘上的“取消”。否则,机器里的现金全用完了,根据警报。

文章中有很多细节。

2月1日发布,2018年上午6:23查看评论

智能物理ATM攻击

这是一个有趣的组合计算机和物理攻击:

俄罗斯安全公司卡巴斯基(Kaspersky)的研究人员周一详细描述了一次新的ATM清空攻击,一种将数字智慧与非常精确的物理渗透形式相结合的技术。卡巴斯基的团队甚至对攻击进行了逆向设计和演示,只使用一个便携式电钻和一个15美元的自制设备,这些设备会注入恶意命令来触发机器的自动取款机。尽管他们不会说出ATM制造商或受影响银行的名字,他们警告说,窃贼已经在俄罗斯和欧洲使用了这次演习,而且,这种技术仍可能使全世界的ATM机在几分钟内就无法打开现金保险箱。

“我们想知道:你能在多大程度上通过一个钻孔和一条连接线控制ATM的内部?结果证明我们可以用它做任何事情。”卡巴斯基研究人员伊戈尔·索门科夫说,他在公司的年度卡巴斯基分析师峰会上介绍了这项研究。“分发者会服从并分发钱,这一切都可以用一台非常简单的微型计算机来完成。”

4月5日发布,2017年上午6:29查看评论

芯片和针的预涂攻击

有趣的研究论文银行卡芯片和PIN的漏洞。来自博客文章以下内容:

我们的新论文表明,克隆芯片卡是可能的,正常的银行程序将无法区分真实的卡。

当执行芯片和PIN事务时,终端请求该卡为该事务生成身份验证代码。此事务的一部分是一个应该是随机的数字,以阻止提前生成认证码。然而,有两种方法可以绕过保护:第一种方法要求芯片和引脚终端具有设计不良的随机生成(我们在野外观察到);第二个要求芯片和PIN终端或其返回银行的通信可以被篡改(这又是,我们在野外观察过)。

5月20日发布,2014年下午2:01查看评论

黑客消费设备

上周末,一对德州夫妇显然,他们发现孩子卧室里的电子婴儿监视器被黑客入侵了。.据当地电视台报道,这对夫妇说他们听到一个陌生的声音从房间里传来,去调查,发现有人远程控制了摄像机的监视器,并大声辱骂着满口脏话。孩子的父亲拔掉了显示器的插头。

这对我们其他人意味着什么?消费者电子系统的安全性如何,现在他们都连接到互联网了?

答案不是很清楚,多年来一直如此糟糕。安全漏洞已经找到在所有类型的网络摄像机中,请各种摄像机,请植入医疗器械,请汽车,请和甚至聪明厕所--更不用说了游艇,请自动取款机机器,请工业的控制系统和军事无人机.

所有这些东西都是可以破解的。我们这些在安全部门工作的人经常惊讶于大多数人不知道这一点。

为什么它们是可入侵的?因为安全问题很难解决。需要专业知识,这需要时间。大多数公司不在乎,因为大多数购买安全系统和智能电器的客户都不知道该怎么关心。为什么婴儿监护仪制造商要花各种各样的钱来确保它的安全性,而普通的客户甚至不会注意到?

更糟的是,该消费者将看到两个相互竞争的婴儿监护仪——一个更昂贵、安全性更好的监护仪,一个安全性最低的更便宜的——买更便宜的。没有专业知识做出明智的购买决定,更便宜的胜利。

很多黑客是因为用户没有正确配置或安装他们的设备,但那确实是制造商的错。这些应该是消费设备,不是专门为安全专家提供的设备。

这种事情在社会的其他方面都是真的,我们有各种各样的机制来处理它。政府监管就是其中之一。例如,我们中很少有人能区分真正的药物和蛇油,因此,食品和药物管理局规定了哪些产品可以出售,以及供应商可以提出哪些索赔。另一个是独立的产品测试。你和我可能一眼就分辨不出一辆造得好的车和一辆造得差的车,但是我们都可以从各种测试机构读取这些报告。

计算机安全已经抵制了这些机制,这两者都是因为行业变化如此之快,而且这种测试既困难又昂贵。但其结果是,我们都被出售了很多带有嵌入式计算机的不安全消费品。当这些计算机连接到互联网时,问题会越来越严重。

这里的道德不是说你的婴儿监护仪会被黑客攻击。道德是几乎所有的“聪明人”一切都可以被黑客攻击,因为消费者不在乎,市场解决不了这个问题。

这篇文章以前出现过在cnn.com上。我大约半小时后写的,根据要求,我对它不太满意。我本应该多谈一些关于良好安全性的经济学,以及黑客技术的经济效益。关键是,我们不必担心那些聪明到能够发现这些漏洞的黑客,但是那些愚蠢的黑客,他们只是使用由聪明的黑客编写和分发的软件工具。啊,好吧,下一次。

8月23日发布,2013年上午6:00查看评论

真聪明的银行卡诈骗

这是一个真的很聪明针对银行卡持有人的社会工程攻击:

一切都开始了,据警方称,星期六晚上,这帮人中的一个会看着我从收银机取钱。这是我最后一笔交易的细节。够阴险的,当你想在布法罗酒吧的一个车库之夜享受自己的快乐时,想到了被监视,但不是最糟糕的。

警察相信我被跟踪回家了,他们就是这样得到我的地址的。

至于电话:嗯,信用证到期时,很聪明。如果你打电话给固定电话,就由你来结束通话。如果另一个人,接电话的人,放下听筒,它不会挂断,意思是当我试图挂断电话去寻找我的银行卡时,欺诈者还在另一端,等我接电话打电话给“银行”。当我这样做的时候,他在电话线上放了一个拨号音,然后是铃声,让我觉得这是正常的电话。

我以为这个电话把戏已经不起作用了。它在我家不起作用——我刚试过。也许它在英国大部分地区仍然有效。

7月30日发布,2013年上午7:33查看评论

攻击自动取款机的进展

现金陷阱和卡陷阱是新事物以下内容:

[卡陷阱]涉及安装在卡接受槽上的设备,并包括一个边缘锋利的弹簧陷阱,防止客户的卡在交易完成时从ATM中弹出。

弹簧存水弯仍在广泛使用。East在其最新的欧洲欺诈更新中写道。“插入卡后,这样可以防止卡被退回给客户,也可以阻止ATM收回卡。根据一个国家的报告,尽管ATM屏幕上或ATM面板上显示了警告信息,但客户在卡被抓获时仍没有报告,导致ATM或销售点交易的重大损失。”

更多描述,以及设备的照片,在文章中。

11月29日发布,2012年下午4:36查看评论

乔·麦金尼斯的布鲁斯·施耐尔侧边栏照片。