上網連線黑入櫃員機狂吐錢保安專家研究兩年可竊用戶密碼

nt1972

20多年前的科幻電影《未來戰士續集》有這一幕：主角在自動櫃員機插假信用卡，接上電腦，按幾個掣就令櫃員機吐錢。這個黑客夢想，美國有電腦保安研究員已做到，而手法簡單，用 USB手指或上網連線，就能令櫃員機乖乖吐錢，甚至竊取用戶密碼。
, Q  n' W& E& ?www3.tvboxnow.com
2 X, K2 A# d8 t1 |( X公仔箱論壇賭城拉斯維加斯的「黑帽」（ Black Hat）大會，是黑客和電腦保安人員年度盛會。今年風頭躉是 IOActive Labs保安顧問公司的研究部主管杰克（ Barnaby Jack），他前天（周三）在台上示範兩種方法入侵櫃員機的電腦，令櫃員機吐到一地美金。杰克針對的是獨立式櫃員機，這種櫃員機非裝置在銀行，而是在超市、油站等零售點，由獨立商家負責營運，人人都買得到。杰克就從網上買了幾部，花兩年時間研究出入侵方法。杰克示範的第一個方法，需要打開櫃員機面板。由於很多營運商貪方便，部部機都用一條萬用匙開。他就從網上買了條萬用匙，打開 Triton生產的櫃員機面板，露出供維修檢查櫃員機電腦用的 USB插頭，插入 USB手指，修改內置程式，這樣就控制了櫃員機吐錢。* R7 S# p0 G% v$ u
公仔箱論壇  r' I% |" J* k8 L
廠商已修改程式漏洞第二個方法更厲害，網上遙控，只需反覆嘗試找到櫃員機的連線電話號碼或 IP位址就可以。杰克在示範中用手提電腦無線上網，入侵 Tranax生產的櫃員機，修改內置程式，跟着在櫃員機輸入特別密碼或用特製控制卡，啟動特別選擇清單，令櫃員機不斷吐錢，更可記錄其他用戶的銀行卡號碼和密碼造假卡。兩個廠商的櫃員機都採用微軟視窗 CE作業系統，但杰克指漏洞出於廠商的內置軟件（ firmware）， Triton的問題是容許系統執行未授權的程式， Tranax的問題是遙距監控功能有漏洞。他示範前已通知兩公司， Triton發出了修改程式， Tranax則呼籲營運商關掉遙距監控功能。杰克未試過銀行或其他廠商的櫃員機，但不排除可用類似方法入侵，「我不會天真到以為只有自己才做得到」。
8 x  a2 f3 Y/ t4 a  O+ I# E* e1 FTVBNOW 含有熱門話題，最新最快電視，軟體，遊戲，電影，動漫及日常生活及興趣交流等資訊。TVBNOW 含有熱門話題，最新最快電視，軟體，遊戲，電影，動漫及日常生活及興趣交流等資訊。- f8 X. Y* \6 X# E
USB手指入侵法
3 k  F5 b0 |7 W) o; E8 y; ]
, A  H2 Z/ j, L公仔箱論壇1)用網上買來的櫃員機萬用匙，打開櫃員機面板
$ r. g/ r& [; g$ ]9 M: b* Q* |TVBNOW 含有熱門話題，最新最快電視，軟體，遊戲，電影，動漫及日常生活及興趣交流等資訊。2)將載有惡毒程式的 USB手指，插入面板後的 USB插頭，修改櫃員機內置程式3)控制櫃員機隨意吐錢
9 b; S2 H( E2 k" T  z& hTVBNOW 含有熱門話題，最新最快電視，軟體，遊戲，電影，動漫及日常生活及興趣交流等資訊。TVBNOW 含有熱門話題，最新最快電視，軟體，遊戲，電影，動漫及日常生活及興趣交流等資訊。. P9 i7 H: h+ ]: l: g3 F
上網連線入侵法$ G5 t- q5 M& I" K8 D
       
0 K7 _) `0 V% g1)反覆嘗試找到櫃員機的連線電話號碼或 IP位址後，用電腦上網以特製程式入侵櫃員機，修改內置程式公仔箱論壇' j! ^( {2 j5 z; }5 Q
2)櫃員機任由黑客控制，可指示它吐錢，甚至紀錄用過該機的卡主的銀行卡號碼和密碼 www3.tvboxnow.com  x' d+ A9 v& ^! T7 n% a* c+ F- I
www3.tvboxnow.com7 W8 K! x7 h1 w6 T, W! J8 {: r

3 a8 F7 Y: u; D; ^. |, n. bwww3.tvboxnow.com杰克在「黑帽」大會上，示範如何以遙控和以 USB手指入侵自動櫃員機，令櫃員機不斷吐出鈔票。