โจมตีเครื่องเอทีเอ็ม: ช่องทางทำเงินของมัลแวร์เอทีเอ็ม

โดยนายเอ็ด คาบรีรา  ประธานเจ้าหน้าที่ฝ่ายการรักษาความปลอดภัยทางไซเบอร์  บริษัท เทรนด์ ไมโคร

บริษัท เทรนด์ ไมโคร และศูนย์อาชญากรรมไซเบอร์แห่งยุโรป (European Cybercrime Center – EC3) ของ ยูโรโพล (Europol) ได้เผยแพร่รายงานเกี่ยวกับภาพรวมของมัลแวร์เอทีเอ็มให้กับสาธารณชนได้รับทราบ โดยรวบรวมข้อมูลจากรายงานของปี 2559 ที่มีการเผยแพร่ในรูปแบบส่วนตัวไปยังสถาบันการเงินและหน่วยงานบังคับใช้กฎหมายทั่วโลก รายงานนี้ครอบคลุมข้อมูลทุกด้านของมัลแวร์ที่ตั้งเป้าโจมตีเครื่องเอทีเอ็ม รวมถึงผู้กระทำผิดที่อยู่เบื้องหลังการโจมตีดังกล่าว

การขยายตัวและนวัตกรรมของเครื่องเอทีเอ็ม

เราพบว่าเครื่องเอทีเอ็มทั่วโลกมีอัตราการเติบโตอย่างต่อเนื่องและคาดว่าจะเพิ่มจำนวนขึ้นเป็น 4 ล้านเครื่องภายในปี พ.ศ. 2564 อย่างไรก็ตาม ในประเทศสหรัฐอเมริกาอาจมีอัตราการเติบโตเพิ่มขึ้นไม่สูงนักอาจมีสาเหตุมาจากหลายปัจจัย ซึ่งรวมไปถึงการเปลี่ยนมาใช้ระบบบัตรชำระเงินแบบอีเอ็มวี (EMV migration) แต่แนวโน้มก็ยังเกิดการเปลี่ยนแปลงต่อไปอีกเยอะเลยทีเดียว

จากการวิเคราะห์ของสมาคมอุตสาหกรรมเอทีเอ็ม (ATM Industry Association – ATMIA) เราพบข้อมูลใหม่ นั่นคือจำนวนเครื่องเอทีเอ็มที่มีการใช้งานอยู่ในประเทศสหรัฐฯ มีจำนวนประมาณ 475,000 ถึง 500,000 เครื่อง

นอกจากนี้ยังมีเรื่องการพัฒนานวัตกรรมเกี่ยวกับเอทีเอ็มเพื่อยกระดับขีดความสามารถและสร้างบริการใหม่ๆ ผ่านระบบเอทีเอ็มเพิ่มขึ้นด้วย สิ่งนี้ส่งผลกระทบโดยตรงกับธุรกิจการธนาคารในโลกแห่งความเป็นจริง เนื่องจากจะมีจำนวนสาขาน้อยลง และสำนักงานมีขนาดเล็กลงอันสืบเนื่องมาจากเครื่องเอทีเอ็มที่มีขีดความสามารถเพิ่มมากขึ้นกว่าเดิม ซึ่งปัจจุบันเครื่องเอทีเอ็มพร้อมให้บริการสำหรับการโอนเงินระหว่างบุคคล (P2P) โดยมีความโดดเด่นในเรื่องของความพร้อมบริการเงินสด มีต้นทุนการทำธุรกรรมที่ต่ำลง รองรับสกุลเงินต่างๆ และสามารถซื้อขายสกุลเงินดิจิทัลที่เรียกว่า Crypto Currency ได้ และรายงานข้อมูลที่ได้จากระบบ Coin ATM Radar พบว่าปัจจุบันมีเครื่องเอทีเอ็มสำหรับบิตคอยน์แล้วเป็นจำนวนเกือบ 1,600 เครื่องทั่วโลก

ทั้งนี้ในอนาคตเราจะเห็นการทำธุรกรรมเงินสดแบบไม่ต้องใช้บัตร แต่ดำเนินการผ่านโทรศัพท์มือถือที่ใช้เทคโนโลยี Near Field Communication (NFC), Bluetooth และ iBeacon นอกจากนี้ยังมีบริการผ่านแอพพลิเคชั่นเพื่อสร้างรูปแบบการใช้งานที่เป็นส่วนตัวและสามารถปรับแต่งได้ตามต้องการ อย่างไรก็ตาม การเชื่อมต่อที่เพิ่มมากขึ้นและบริการที่ขับเคลื่อนด้วยแอพย่อมนำมาซึ่งความเสี่ยงที่เพิ่มขึ้นด้วย จึงจำเป็นอย่างยิ่งที่จะต้องให้ความสำคัญกับนวัตกรรมด้านการรักษาความปลอดภัยเครื่องเอทีเอ็มทั้งทางกายภาพและเครือข่ายเพื่อให้สามารถคาดการณ์ความเสี่ยงที่จะเกิดอันตรายได้ล่วงหน้า

ระบบทางกายภาพกับบนเครือข่าย

การโจมตีเครื่องเอทีเอ็มและระบบเครือข่ายของเอทีเอ็มกำลังเพิ่มจำนวนขึ้นอย่างต่อเนื่อง โดยในส่วนการโจมตีทางกายภาพนั้น นักวิจัยของเราได้แยกให้เห็นถึงสิ่งที่มัลแวร์เอทีเอ็มจำนวนมากกำลังให้ความสำคัญเป็นอย่างมาก นั่นก็คือ มิดเดิลแวร์ XFS (ส่วนเชื่อมขยายสำหรับระบบบริการทางการเงิน) โดยผู้ให้บริการมิดเดิลแวร์จะใช้มาตรฐาน XFS เพื่อสร้างสถาปัตยกรรมไคลเอนต์/เซิร์ฟเวอร์สำหรับแอพพลิเคชั่นทางการเงินบนแพลตฟอร์ม ไมโครซอฟท์ วินโดวส์ จากนั้นแอพพลิเคชั่นทางการเงินที่ดำเนินงานผ่านตัวจัดการ XFS โดยใช้ XFS API จะสื่อสารกับอุปกรณ์ต่อพ่วงต่างๆ เช่น แผงปุ่มกด PIN, เครื่องจ่ายเงินสด และเครื่องพิมพ์ใบเสร็จ ซึ่งมิดเดิลแวร์ดังกล่าวนี้เป็นส่วนเชื่อมต่อภายในตู้เอทีเอ็มจำนวนมาก (ไม่ว่าจะเป็นยี่ห้อ รุ่น หรือผู้จำหน่ายตัวเครื่องรายได้ก็ตาม) การใช้ประโยชน์จากความเป็นสากลของ XFS กับตู้เอทีเอ็มที่มี “ช่องโหว่” ถือเป็นผลตอบแทนจากการลงทุนที่สูงมากสำหรับนักพัฒนามัลแวร์ เนื่องจากสามารถดำเนินการเพียงครั้งเดียวก็สามารถเจาะระบบได้อย่างต่อเนื่องในวงกว้าง

สำหรับการโจมตีบนเครือข่ายนั้น นักวิจัยของเราได้วิเคราะห์การโจมตีล่าสุดที่เป็นที่รู้จักกันอย่างดี โดยเมื่อเดือนกรกฎาคมปี 2559 อาชญากรไซเบอร์ในยุโรปตะวันออกได้ใช้มัลแวร์เพื่อถอนเงิน 2.5 ล้านเหรียญจากตู้เอทีเอ็ม 41 เครื่องในสามเมืองใหญ่ของไต้หวัน นอกจากนี้ยังมีรายงานการตรวจพบมัลแวร์ในลักษณะเดียวกันอีกหลายรายการ เช่น Cobalt Strike, Anunak/Carbanak, Ripper และ ATMitch การโจมตีทั้งหมดนี้ตอกย้ำให้เห็นถึงความเสี่ยงอย่างเป็นระบบของเครือข่ายองค์กรที่ไม่ปลอดภัย ซึ่งในที่สุดจะกลายเป็นเกตเวย์ในการหาประโยชน์จากโครงสร้างเอทีเอ็มทั่วโลก

การรักษาความปลอดภัยสำหรับเครื่องเอทีเอ็ม

การลดความเสี่ยงของเครื่องเอทีเอ็มให้กับธนาคารและผู้บริโภคถือเป็นเรื่องสำคัญอย่างยิ่ง ต่อไปนี้เป็นเคล็ดลับบางประการที่จะช่วยผู้ดูแลระบบรักษาความปลอดภัยในองค์กรทางการเงินให้เริ่มต้นรับมือกับความเสี่ยงดังกล่าวได้

  • ปรับปรุงระบบปฏิบัติการ ชุดซอฟต์แวร์ และการกำหนดค่าความปลอดภัยให้ทันสมัยอยู่เสมอ
  • ใช้แพทช์ (Patch) กับโครงสร้างพื้นฐานของเครือข่ายองค์กรและตู้เอทีเอ็มอย่างทันท่วงที
  • ใช้เทคโนโลยีที่ได้รับอนุญาตพิเศษเพื่อปกป้องระบบของคุณ เนื่องจากเครื่องส่วนใหญ่จะเป็น “อุปกรณ์ใช้งานแบบติดตั้งอยู่กับที่”
  • นำระบบการตรวจจับการบุกรุกและการป้องกันการบุกรุกเข้ามาใช้เพื่อตรวจหาลักษณะที่เป็นอันตรายของระบบและเพื่อป้องกันเครื่องเอทีเอ็มในระหว่างการใช้งาน
  • มั่นใจได้ว่ามีระบบตรวจสอบการทำงานของฮาร์ดแวร์และซอฟต์แวร์ในส่วนที่เกี่ยวข้องกับความปลอดภัยในลักษณะเรียลไทม์
  • ปรับใช้และใช้โซลูชั่นป้องกันมัลแวร์ในโน้ตบุ๊กและอุปกรณ์ยูเอสบี ของช่างเทคนิค
  • ฝึกอบรมช่างเทคนิคให้ดูแลจัดการอุปกรณ์ยูเอสบยี แบบถอดได้ด้วยความระมัดระวัง

สำหรับสถาบันการเงินและหน่วยงานบังคับใช้กฎหมายที่สนใจเรื่องการตรวจจับมัลแวร์เอทีเอ็มและแนวทางการป้องกัน เราจะมีรายงานในรูปแบบส่วนตัวพร้อมให้บริการ หากต้องการขอรับสำเนาของรายงานดังกล่าว โปรดส่งอีเมลมาที่ [email protected]