行业新闻与博客

在 8月5日举行的 Black Hat USA 2020 虚拟会议上，美国最大的银行之一的技术情报团队负责人 Kevin Perlow 解释了网络攻击者如何利用金融交易的公共标准来实现多种形式的欺诈行为。 。

ISO 8583 是全球所有金融机构每天使用的关键标准之一，它定义了信用卡交易消息的发送和接收方式。Perlow 解释说，每当有人去银行提款机或在杂货店使用销售点设备进行自助结帐时，都会将 ISO 8583 消息创建为交易的一部分。

Perlow 说：“ ISO 8583 是一组标准化的字段，用于从您的卡传输数据，并将交易发送到付款交换机，然后从该付款交换机到银行以批准或拒绝正在发生的交易。”

付款交换机是一种处理来自不同类型的付款设备（如 ATM 和 POS 设备，如杂货店中的设备）的传入消息的设备。付款交换机处理消息并决定如何处理它们。支付切换也是攻击者的主要目标，因为攻击者希望利用带有'FASTcash'的 ISO 8583 以及其他形式的恶意软件。

FASTCash 如何使用 ISO 8583

所谓的 FASTCash 恶意软件于 2018年首次公开披露，并自此以来一直活跃。Perlow 指出，FASTCash 是朝鲜威胁者（有时也称为 Lazarus 集团）创建和执行的恶意软件的子集。

FASTCash 的工作方式是，攻击者将其注入到付款开关中，并从位于银行的攻击者那里欺诈性地批准似乎合法的 ISO 8583 消息，从而使他们可以取款。在他的演讲中，Perlow 描述了如何以 FASTCash 攻击者能够模仿的方式构造 ISO 8583 消息。

Perlow 强调，为了创建并正确执行 ISO 8583 消息，攻击者需要做很多事情，因为存在很多复杂性。因此，FASTCash 嵌入了日志记录信息，以帮助监视和调整以执行其恶意负载。

ISO 8583 不是真正的问题

鉴于攻击者正在使用 ISO 8583 标准，因此可以推断出该标准可能存在问题，应予以更改-但 Perlow 认为并非如此。他说他永远不会建议更改 ISO 8583 标准，即使他认为这是一个好主意，也绝不可能这样做。

他强调说：“ ISO 8583 标准是几乎所有东西的卡支付标准。”

话虽如此，他指出，信用卡交易有多种方式可以使数据随机化。通过随机化，他解释说，这样做的目的是使知道什么消息应该返回银行机器的预测变得不太容易。

他说：“最终，这里发生的事情是支付开关受到损害，而且使用的支付标准完全没有错。” “ ATM 可以按照其真正意义上的方式运行，并且正在处理消息。”

FASTCash 攻击者有多种进入支付开关的方式，包括使用流氓 PowerShell 脚本。Perlow 建议，攻击媒介涉及 IT 专业人员应在其端点检测活动中寻找的东西。

Perlow 总结道：“等到付款转换以及现金出现时，您就会知道，因为您的所有 ATM 机都会突然变空。” “这个想法是在它到达那个点之前就停止它。”

本文由机器译制