插入USB櫃員機自動吐錢

http://news.hk.msn.com/international/article.aspx?cp-documentid=4212397

美國拉斯維加斯舉行的黑客大會上，有網絡保安專家示範令櫃員機自動吐出現金，在場人士都嘆為觀止。專家拒絕透露手法，免得他人有樣學樣，他稱只要一隻USB手指，就可令櫃員機將鈔票自動奉上。

美國科技公司 IOActive Inc.的保安測試部主管傑克（Barnaby Jack），自掏腰包購買三台不同型號的獨立式銀行櫃員機，花了兩年時間試驗，前日他出席黑客大會發表演講，分別測試由 Tranax 和 Triton 生產的兩部櫃員機，示範兩種入侵方法。

第一種是機身入侵，傑克先以一把鎖匙打開櫃員機，插入一隻裝有黑客軟件的USB手指，即可隨意操控櫃員機，不停吐出金錢。

可取得客戶紀錄及密碼

傑克發現同一廠商所有櫃員機，都用同一款鎖匙，鎖匙在網上只需約十美元（約七十八港元）便可買到。

第二種手法是遙距入侵，傑克表示，用手提電腦連接到目標櫃員機，便可透過他自行設計的黑客軟件監控，毋須打開機身。除可操控櫃員機吐出鈔票外，該櫃員機儲存的客戶使用紀錄，甚至是提款卡密碼，黑客都唾手可得。

傑克自行設計的黑客軟件名為Dillinger，是以三十年代美國銀行大賊命名。軟件入侵櫃員機後，畫面顯示取得數據（Retreive Track Data）或中獎（Jackpot）的選擇，若按下中獎，櫃員機便會源源不絕的吐出金錢。

已通知製造商保安漏洞

傑克相信可用同樣的手法，入侵不同製造商的櫃員機，他去年已通知兩間廠商有關櫃員機的安全風險。其中 Triton 答覆稱，去年十一月已開發新程式堵塞漏洞，Tranax 則未回應。

傑克建議櫃員機廠商加強安全措施，例如為每部櫃員機配備不同鎖匙，及更嚴格地審核電腦程式。