取款机太容易遭到入侵了，黑客甚至用不着恶意软件。

世界上的每台取款机都很容易被黑客操纵，比如远程吐钱 (2010年BlackHat大会上，黑客巴纳比进行了名为Jackpotted的演示，通过远程操作让ATM机吐钱)，而黑客并不一定需要恶意软件的协助。卡巴斯基实验室的安全研究人员通过分析真实发生过的数起ATM攻击事件，评估了几家全球性大银行使用的取款机设备，得出了这一结论。

ATM机脆弱的现状与它们广泛使用老旧而不安全的软件、网络配置失误、关键部位缺乏物理保护有关。

过去这么多年，ATM机面临的最主要威胁是假密码键盘和假卡槽：犯罪分子会在ATM机表面附加特殊的设备，窃取银行卡密码和磁条里的信息，这类设备也称为Skimmer。不过，恶意技术一直在不断进步，目前ATM机面临威胁的范围比以往更大。

2014年，卡巴斯基实验室的研究人员发现了Tyupkin，这是最早出现的几种知名ATM恶意软件之一。2015年，他们又发现了Carbanak Gang，它与其它软件的不同之处在于通过入侵银行基础设施实现吐钱目的。

这两种攻击都能通过利用ATM技术和结构中常见的几种漏洞实现。

为了提供更全面的认识，卡巴斯基实验室的渗透测试专家研究了一些取款机中存在的软件和物理漏洞。针对ATM的恶意软件攻击主要利用了两个缺陷：

• ATM机基本上都是运行着Windows XP等古老操作系统的PC；
• 在大多数情况下，负责帮助ATM与银行基础设施及硬件装置交互、处理现金和信用卡的特制软件是基于XFS规范的。这个技术规范的最初目的是实现ATM软件跨平台标准化，但目前已经相对过时。

XFS规范不会认证它处理的命令，这意味着任何安装在ATM上的应用都可以对任意ATM硬件单元发出指令，比如读卡器和取款口。这意味着，如果恶意软件成功感染了ATM，就能获得几乎完全自由的控制能力。

卡巴斯基实验室的研究团队警告称：“黑客可以让密码键盘和卡槽变成更自然的Skimmer，也可以通过发出指令，让ATM吐出存储的所有现金。”

物理安全就更薄弱了。ATM机缺乏物理安全的现实使得黑客可以直接完成入侵，而不需要恶意软件帮忙。ATM的制造和安装方式决定了第三方很容易接入运行在里面的PC，或者是将ATM连接到网络的网线。

仅仅通过一点点物理接触，犯罪分子就有可能成功给ATM装上特别编码过的小型计算机 (也就是所谓的黑盒子) ，这让黑客能够实现远程访问。将ATM的连接导向恶意的计算中心也是有可能实现的。由于缺乏VPN和认证等二级控制机制，黑客能够利用利用ATM与银行设施之间网络连接的漏洞。

卡巴斯基实验室渗透测试部门安全专家奥尔佳·考契托娃 (Olga Kochetova) 领导了这项研究，她表示：“我们的研究结果显示，尽管厂商正尝试开发配备强安全措施的ATM，很多银行仍旧在使用不安全的老型号”。

“面对经常挑战ATM设备的犯罪分子，这显然有点准备不足。这就是如今的现实，导致银行及其客户遭受巨大的财务损失”。

网络罪犯们不止对网银感兴趣，他们正越来越频繁地发动直接攻击。

直接攻击这类设备能够极大地缩短犯罪分子拿到现金的流程，这对他们很有吸引力。

要获取此项研究的更多信息，可以查看考契托娃发布的这篇文章。

Malware and non-malware ways for ATM jackpotting. Extended cut