識 HACK, 一定係HACK ATM。

點解?呢個世界,呢個香港,日日唔喺見到邊個銀行結束業務,就係某幾位富豪撤資。喺唔少討論區都話中國就嚟爆煲,美國加息一定陷家剷,進入通縮時代。好多人都打住「Cash is King」 嘅信條,等時機去 ATM 自動櫃員機 或 銀行櫃位拎錢。不過,如果有人話俾你聽,可以 hack 個 ATM 後喺咁嘔尐錢出來俾你任洗唔嬲呢?

外國科技傳媒HACKREAD報導 指出有駭客成功hack 入ATM 拎錢。Blogger Brian Krebs 明確指出現時提款機生產商 (下稱 NCR) 指出現時ATM 操作系統落後,容易被駭客利用電腦或智能電話(Smartphones) 連接ATM 主機,解密通訊資訊後做愛做的事,如隨住監視電話MON 知道你提款卡咩嘢密碼,戶口號碼,偷晒你尐錢,甚至可以手篤篤,幾時彈銀紙出來都得。

講就好易,但係,點樣做到呢?

就係首先搵人開左個ATM主機,放一個叫做PLOUTOS.EXE喺自己 smartphone 上 (Android) ,寫個 java program 行一次 windows command cmd.exe /c PLOUTOS.EXE 5449610000583686=2836957412536985 ,用 USB 線駁上去,噤幾粒制,食用。根據 Computer Security 公司之一Symantec嘅研究報告,明文指出以上Command 可以取得目標 ATM 的最高權限,廿四小時都生效。換言之,你想幾時要就幾時篤。SEND 個 SMS 就得。

點解要SEND 個 SMS 但唔可以好似 whatsapp , telegram 咁打字上 Internet 呢?因為 ATM 網絡,係靠以前的telephone network (PSTN) 和 Integrated Services Digital Network (ISDN) 做主要骨幹。所有系統只要穩定運行,沒有重大錯漏都可以長期使用,唔使砍掉重練。即使網絡ATM最近開始興起,叫用家上網處理提款、轉帳、查詢等服務,但不安全,易受駭客或中間人攻擊和截取資訊,而且所涉及的 System Integration 和 Revamp (系統整合,搬移舊機) 成本不菲,所以尚未成為主流。駭客跟盜匪都是取易不取難,所以都會轉用 SMS 去控制 ATM。依家出街買個普通電話,去鴨寮街都五舊水有找,就算咁唔好好彩俾差人捉到都只係少左部 Nokia 3310,唔係你部 Android 電話。

聽聞話叫人 upgrade 部ATM電腦上 windows 7,8 , 改善個ATM 系統,要多重認證,就可以杜絕ATM Hacking,但係,真係咁容易?寫一個系統容易,維護改善一個系統,就難好多了。一個系統用咗幾十年,就算有個 Testing Server 可以俾你試俾你裝,但都要花上幾個月先可以明白個架構,更何況一個隔幾日就上唔到,成日以為自己俾人 hack 嘅 Forum 呢?最少,個主機唔係行 Linux。不過,寫開ATM System嘅人,一定係識 UNIX/C,但都年紀老邁,人工又低,個個都走去學識 Swift / JAVA。所以,邊會有後生仔掉轉頭學識呢尐呢?

所以,識 HACK, 一定係HACK ATM。

新聞來源:

Hackers rob ATM systems with Samsung Galaxy 4 smartphone

Texting ATMs for Cash Shows Cybercriminals’ Increasing Sophistication

Hackers Show How Simple It Is to Hack ATMs for Free Cash