[ATMBOX] 美国联邦金融机构审查委员会（Federal Financial Institutions Examination Council，FFIEC）周三（4/2）指出，骇客入侵中小型金融机构所用的ATM控制台（control panels）并诈领现金的案例愈来愈多，希望金融机构小心提防。
此一警告与美国特勤局（United States Secret Service）去年揭露的「无限行动」（Unlimited Operations）有关。骇客先发动网路攻击以存取金融机构网站的ATM控制台，并窜改使用者所设定的提领额度，或提领地域等限制，同时以偷来的客户签帐卡、预付卡，或提款卡帐号资讯制造伪卡，再自实体ATM盗领现金。由於额度及地域的限制都被取消，使得骇客得以无限制在全球提领甚至超过存款金额的现金，因而被称为无限行动。
在最近一次通过该手法进行攻击的行动中，骇客仅以12个签帐卡帐号就在全球盗领超过4000万美元金额。
这是一套非常精密的攻击手法，骇客可能先以网钓手法入侵金融机构的内部网路，然后取得ATM控制台的登入凭证，再窜改ATM控制台有关安全或内部控制的各种设定。另一方面，骇客还得透过於POS系统安装病毒以窃取金融卡用户的帐号资讯以制造伪卡，然后集中在4小时至2天内盗领大量的金钱，而且通常选择在银行管制较宽松的周末或假日时段进行。
美国电脑紧急应变小组US-CERT曾於今年1月初警告，骇客早就锁定存於POS系统上的消费者资料，而近来发生的几起重大资料外泄案件也都於POS系统有关，包括零售业者Target有逾1亿笔用户资料外泄、精品百货Neiman Marcus也有客户的信用卡资讯外泄，还有数家同样遭到攻击的零售商未浮上台面。
FFIEC表示，不论是签帐卡、预付卡，或提款卡银行都面临来自无限行动的多种风险，因而要求金融机构要确实执行各项防范措施，包括持续进行资讯安全风险评估、执行安全监控/预防/风险减轻计画、避免非授权的系统存取、定期针对重要系统进行控制测试、执行资讯安全警觉与训练计画，以及测试意外回应计划等。编译：中国金融自助设备网（atmbox.com）