Zainfekowane bankomaty

Ada Maj

, Publikacje

Zainfekowane bankomaty pozwalają wypłacać pieniądze bez kart kredytowych

Ostrzeżenia dotyczące wypłaty pieniędzy z bankomatów pojawiają się non stop i nie jest to sprawa nowa, natomiast każde nowe podejście do tematu warte jest omówienia i uwrażliwienia na ten fakt.
Liczba ataków na bankomaty stale rośnie czy to przy użyciu urządzeń do klonowania kart płatniczych czy też szkodliwego oprogramowania. Zagrożenia ewoluują i przykładem tego jest opisane poniżej zagrożenie, w którym to cyberprzestępcy atakują instytucje finansowe bezpośrednio. Dokonują tego poprzez samodzielne infekowanie bankomatów lub przeprowadzanie ataków ukierunkowanych na banki. Przykładem jest omawiany przypadek szkodliwe oprogramowanie Tyupkin.
Chodzi o ataki cyberprzestępczne, których celem są liczne bankomaty na całym świecie. Szkodliwe oprogramowanie infekujące bankomaty, które pozwala atakującym opróżniać maszyny poprzez bezpośrednią manipulację i kraść miliony dolarów. Interpol ostrzegł państwa członkowskie, w których zaobserwowano ataki, i zapewnia pomoc w prowadzonych śledztwach.
Cyberprzestępcy bez wkładania karty płatniczej wprowadzają kombinację cyfr na klawiaturze bankomatu, dzwonią w celu uzyskania dalszych instrukcji od operatora, wprowadzają kolejny zestaw liczb wówczas bankomat zaczyna wydawać gotówkę. Następnie opuszczają miejsce, nie wzbudzając żadnych podejrzeń. Żeby było już całkiem sensacyjnie robią to w nocy,  wyłącznie w niedziele i poniedziałki.
.

Przebieg ataku

Atakujący uzyskuje fizyczny dostęp do bankomatu i umieszcza w nim płytę CD w celu zainstalowania szkodliwego oprogramowania. Po powtórnym uruchomieniu systemu, zainfekowany bankomat znajduje się pod kontrolą atakujących.

Następnie po udanej infekcji szkodliwe oprogramowanie uruchamia nieskończoną pętlę, czekając na polecenie. Aby atak był trudniejszy do rozpoznania, szkodliwe oprogramowanie przechwytuje polecenia jedynie w określonym czasie – w niedzielę i poniedziałek w nocy. Wytłumaczenie dlaczego w tych godzinach przestępcy mogą ukraść pieniądze z zainfekowanej maszyny.

Nagrania uzyskane z kamer bezpieczeństwa w zainfekowanych bankomatach ukazywały metodę stosowaną w celu uzyskiwania dostępu do gotówki z maszyn. Dla każdej sesji generowany jest na nowo klucz złożony z unikatowej kombinacji cyfr (w oparciu o losowo wybrane liczby). Dzięki temu żadna osoba spoza gangu nie będzie mogła przypadkowo odnieść korzyści z oszustwa. Następnie, osoba stojąca przy bankomacie otrzymuje instrukcje przez telefon od innego członka gangu, który zna algorytm i potrafi wygenerować klucz sesji w oparciu o pokazany numer. Ma to zapobiec próbom samodzielnego pobierania gotówki przez osoby pośredniczące w infekowaniu bankomatów.

Jeśli klucz jest poprawnie wprowadzony, bankomat wyświetla informacje o tym, ile środków jest dostępnych w każdej kasetce z pieniędzmi, zachęcając operatora, aby wybrał, którą kasetkę chce okraść. Następnie, bankomat wydaje 40 banknotów za jednym razem z wybranej kasetki.

.

Występowanie szkodliwego oprogramowania Tyupkin

Backdoor.MSIL.Tyupkin zostało jak dotąd wykryte w bankomatach w Ameryce Łacińskiej, Europie i Azji.

 

 .

Film pokazujący atak przeprowadzony na prawdziwym bankomacie

 

 

Źródło: Kaspersky Lab

 

Share Button