2000万美元的“老虎机”:FBI警告ATM“大奖攻击”激增
在涉及重大利益的网络犯罪世界中,一些最有效的攻击并非发起于半个地球之外的卧室,而是光天化日之下的路边。美国联邦调查局(FBI)发布了一份严峻的安全公告,详细描述了“ATM大奖攻击”(ATM jackpotting)的卷土重来。这是一种复杂的物理与数字联合劫案,能将标准的现金提款机变成高速喷钞机。
根据最新的联邦数据,2025年是此类犯罪创纪录的一年。黑客全美范围内成功实施了700多次攻击,窃取现金估计达2000万美元。这代表了此类劫案在频率和技术精度上的显著升级,促使金融机构和独立ATM运营商发布了全国范围的警报。
什么是ATM大奖攻击?
要理解“大奖攻击”,可以将ATM想象成一个坐在现金保险库上方的专用计算机。在正常情况下,计算机(即“顶帽”部分)只有在刷入合法卡片并验证密码(PIN)后,才会指令保险库释放现金。
在“大奖攻击”中,犯罪分子完全绕过读卡器和银行的授权网络。他们通过使用伪造钥匙或钻小孔以访问特定端口,获得对ATM内部硬件的物理访问权限,并连接一个被称为“黑盒”的辅助设备。该设备直接向出钞外设发送指令,迫使其以每秒数张钞票的速度清空钞箱。对于路人来说,这看起来就像机器发生了故障,或者真的中了“头奖”。
现代劫案的剖析
2025年的激增凸显了犯罪操作向精简化转变的趋势。虽然早期版本的此类攻击需要笨重的笔记本电脑和复杂的接线,但FBI指出,现代攻击者使用的是定制的微型电路板,可以在几秒钟内隐藏在ATM的塑料面板后面。
一旦设备连接成功,“骡子”(指站在机器前的操作人员)通常会通过加密即时通讯应用与远程操控者沟通。操控者向“黑盒”发送信号开始出钞。这种角色分工使执法部门更难追踪幕后主使,因为被摄像头拍到的人往往只是低级别的招募人员。
为什么2025年成为“大奖攻击”之年
安全专家指出,多种因素构成的“完美风暴”导致了去年2000万美元的损失。许多ATM,特别是位于便利店或独立售货亭的机器,仍运行在过时的Windows版本上。这些遗留系统通常缺乏必要的强大加密,无法保护ATM主机与出钞机之间的通信线路。
此外,硬件本身已成为瓶颈。虽然银行多年来一直在升级芯片密码(EMV)技术以防止侧录盗刷,但在实施防止访问内部USB或串行端口的物理安全升级方面进展缓慢。对于犯罪分子来说,欺骗机器交出自己的钱,往往比窃取单个客户的数据更容易。
对金融机构的影响
FBI引用的2000万美元仅指实际被盗的现金。对于银行和独立运营商来说,真实的成本要高得多。一次“大奖攻击”事件通常会导致:
- 硬件损坏: 攻击者经常使用钻头或撬棍访问内部端口,导致机器报废。
- 软件修复: 一旦ATM遭到入侵,必须将其离线进行全面的取证审计并重新安装软件。
- 保险保费: 随着此类攻击频率的增加,现金押运和ATM硬件的保险成本也随之飙升。
行业如何反击
针对FBI的公告,金融部门正在转向更趋向“零信任”的硬件架构。这包括在ATM核心处理器和出钞机之间实施端到端加密。如果出钞机没有收到来自授权银行软件的加密签名指令,即使连接了“黑盒”,它也不会释放现金。
物理防御也在加强。新的“防钻”钢板和升级的内部锁具正在安装,以增加攻击者触及内部端口的难度。一些运营商甚至部署了GPS联动报警器,一旦ATM外壳被破坏,就会立即通知当地警方。
给运营商和消费者的实用建议
虽然“大奖攻击”主要针对机器所有者而非个人银行账户,但这些攻击会导致服务中断,并随着银行转嫁损失而导致手续费增加。
给ATM运营商:
- 更新固件: 确保所有出钞机运行最新的固件,并启用加密通信。
- 物理审计: 定期检查ATM的“顶帽”部分是否有篡改迹象,如面板错位或不明的新孔洞。
- 限制访问: 使用唯一的、高安全性的锁具更换标准的制造商通用钥匙。
给消费者:
- 保持警惕: 如果你看到有人在没有持卡的情况下在ATM前停留异常长的时间,或者机器看起来被部分拆解,请避开该区域并联系警方。
- 首选室内机器: 位于银行大堂或人流量大、光线充足区域的ATM,比阴暗角落的独立售货亭更不容易成为“大奖攻击”团伙的目标。
随着我们进入2026年,这场针对路边最有价值资产的争夺战仍在继续。FBI的警告提醒我们,在数字时代,有时最危险的威胁就站在机器正前方。
资料来源
- Federal Bureau of Investigation (FBI) Cyber Division Bulletins
- ATM Industry Association (ATMIA) Global Fraud Reports
- Krebs on Security: Analysis of Black Box Attacks
- Department of Justice: Recent Prosecutions in ATM Malware Cases
