Loading
0

看完这篇报告,ATM取款机上的指纹识别你还敢用吗

除此之外,针对脸部识别技术的破解也在进行中。当前比较主流的方案是,从受害人的社交网络中找张照片,然后将这张脸作为面具戴到攻击者的脸上,以此来欺骗ATM即的脸部识别系统。据说地下市场正在开发这套方案的移动应用。
更多潜在攻击手法
卡巴斯基实验室针对当前ATM机应用的生物识别技术,认为其攻击方式实际还可以从网络层面入手。比如说并不直接针对ATM机,而是看准生物体征数据库——这个数据库存储着所有用户的生物体征数据。
攻击方法基本也是社工:首先调查银行选择的维护支持方,也就是维护数据库的第三方,向其内部员工发起钓鱼邮件。如果说维护这个体征数据库的第三方企业员工打开了这封邮件,攻击者就能利用恶意程序来获取到管理员身份凭证;或者说利用漏洞进行提权操作,获取数据库管理员凭证。通过上传恶意程序的方式,攻击者就能从数据库中盗取生物识别数据。大致的攻击方案如下图所示:

在攻击提权阶段,攻击者还能在ATM管理员主机上找到远程管理工具——这些工具是针对ATM机进行远程操作的。由于这些ATM管理员主机已经被攻陷,利用其上的远程管理工具,可以直接向ATM机上传恶意程序,感染XFS Manager中间件,然后和吐钞部件直接交互,就能吐出现金了。

这究竟有多恐怖?
应该说,如果黑客只是贪图ATM机中的那些现金,即便存在损失,这样的损失也在可控范围内。可是如果针对的是生物体征数据,想一想,你的指纹在黑市上被人出售,这是多么恐怖的一件事!
生物体征数据具有唯一性,而且恒定不变、不可抛弃,这是其最大特色。生物识别的确在某种程度上加强了安全性,而且关键是很方便。但这种方案有个问题,生物体征数据用得越多,被盗的可能性也越大。
实际上,如今的生物体征数据是记录在e-passports(电子通行证)之上的。一旦这个e-passports被盗,则意味着生物体征数据被盗,这种识别方案宣告永久失效。它不像PIN之类的方案,一旦被窃,用户还可以通知用户进行修改。这才是现如今生物识别技术发展的最可怕之处。
卡巴斯基的这篇题为《针对ATM通讯和认证系统的未来攻击场景》报告,比较详细地叙述了当代ATM机的各种弱点和针对这些弱点的攻击思路,比如说针对NFC近场通讯技术的,还有ATM机内部的一些缺陷,有兴趣的同学可前往阅读完整版报告。

分页阅读: 1 2
【声明】:8090安全小组门户(https://www.8090-sec.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们:邮箱hack@ddos.kim,我们会在最短的时间内进行处理。