支付清算协会发布风险提示:ATM终端取现受到新威胁

 10月30日,中国支付清算协会发布《关于加强防范ATM取款攻击的风险提示》(以下简称《提示》)称,日前支付卡产业联盟安全标准委员会和ATM行业协会发布紧急公告,ATM终端的现金取款安全性受到新的威胁一一ATM取款攻击。中国支付清算协会对公告进行了编译,对相关会员单位进行风险提示。

  《提示》解释称,ATM取款攻击是指犯罪分子入侵银行支付系统,操纵欺诈监测控制台,篡改客户账户余额、取款限额、交易记录等要素,达到在短时间内通过ATM机大量(在账户实际余额范围内)或超量超出账户实际余额)取款的行为。

  《提示》提醒,欺诈分子一般不直接攻击ATM,而是通过网络钓鱼或社会工程学攻击等方式,在金融机构支付系统中注入恶意软件,获取系统管理权限,远程入侵并控制欺诈监测后台,解除取款次数和额度限制,篡改账户密码和余额,然后将创建的虚假账户或使用持有账户(以不正当方式获取的账户、借记卡或信用卡)分发给“跑腿人”,有序安排他们在指定的ATM终端按照计划安排取款。

  “银行类金融机构和非银行支付机构将面临大规模协同攻击的风险。此类攻击行为具有高度组织、精心策划、行动迅速的特点,风险损失可高达数百万美元,且覆盖面较广。”《提示》表示。

  对此,《提示》提出了检测建议和预防措施手段进行应对。

  在系统层面,对ATM取款攻击的检测建议包括:一是加强对底层账户交易金额、次数、周期、间隔等行为的监控;二是采用全天候监控功能,如文件完整性监控软件;三是及时预警,发现可疑行为后立即报告;四是开发并优化突发事件响应管理系统;五是检査非常规流量来源(如IP地址);六是检查未经授权的网络工具使用情况。

  预防措施则包括:严格管理系统访问权限;强化监测机制,定期开展系统安全检查;重视系统预警信号;选择可信软件供应商;严格遵守PCI数据安全标准;以及加强内部管理。

  “采用ATM取现攻击的犯罪分子,研究系统漏洞和制定攻击计划的周期可长达几月。金融机构应提高对系统检测预警信号的重视程度。建设或优化员工监控系统,防止‘监守自盗’;对员工开展持续性反网络钓鱼培训;设置强口令,并严格密码管理工作。”