網上爆出ATM取款機存漏洞 駭客可獲最高許可權

 9 月 21 日，國內某漏洞網站爆出“銀行 ATM 機存在安全性漏洞”，可被駭客攻擊，駭客通過入侵 ATM 機可竊取銀行卡帳號密碼、進行轉賬等操作。瑞星安全專家提醒說，從技術角度講 ATM 取款機的漏洞確實存在，尤其是那些帶有全鍵盤輸入或虛擬鍵盤輸入的“進階取款機”，更容易被駭客入侵。

所示 ATM 機，已被擷取本地瀏覽目錄許可權

　　瑞星安全專家介紹說，目前很多 ATM 採用的都是漏洞較多的 Windows 系統，包括了 Windows 2000、NT 和 XP，通過瀏覽器漏洞即可擷取系統管理員許可權，從而可以在機器上進行任意操作。

　　網上的漏洞示範，是在一台運行 Linux 系統的 ATM 機上進行的，從可見駭客取得了本地 ATM 的檔案夾瀏覽許可權，只要再做一些簡單的許可權提升操作，即可獲得最高的系統管理員許可權，可以在機器上植入木馬、記錄使用 ATM 的使用者銀行卡號密碼、甚至直接轉賬等。

　　“從技術上講，入侵 ATM 的難度跟入侵一台普通 PC 沒什麼區別，如果銀行和 ATM 廠商沒有在系統上做必要的安全防護，ATM 就是駭客的提款機，最終受害的是普通銀行卡使用者。”瑞星安全專家表示，由於很多 ATM 機採用了安全性一般的 Windows 系統，其被入侵的難度並不大，只是在於什麼將漏洞輸入 ATM。而帶有全鍵盤輸入或手寫輸入的 ATM 就可以完成這個任務。

　　瑞星安全專家表示，此次網上爆出的 ATM 安全性漏洞，是國內首次發現類似的 ATM 可遭攻擊案例。這意味著，類似 ATM 這樣關係到人民財產安全的重要設施也成為了駭客的攻擊目標。

　　使用者如何應對 ATM 遭攻擊的安全風險？瑞星安全專家指出，雖然在介面上極為相似，但在 ATM 的安全防護和設定上，國有大銀行、世界著名的 ATM 生產商通常對 ATM 有較好的安全維護，對其系統核心安全有良好的監控流程。使用者在 ATM 取款時，應盡量選擇信譽良好、安全有保證的銀行 ATM 進行。