21.05.20203 min

Agata ŚlusarekSenior Cyber Threat Security Engineer

Jak wypłacić całą gotówkę z bankomatu, czyli black box

Dowiedz się, czym jest atak black box na ATM, czym infekuje się bankomaty, jak przebiega kradzież gotówki oraz czy da się przed tym uchronić.

Jak wypłacić całą gotówkę z bankomatu, czyli black box

A gdyby tak podejść do bankomatu i wypłacić z niego całą gotówkę? Niemożliwe? A jednak… przestępcy (ale tylko Ci niektórzy) wiedzą, jak to zrobić. Zaciekawiło Cię to? Zapraszamy do lektury artykułu… ☺ 

Zdarza się, że słyszymy w radiu lub telewizji, czy czytamy w prasie, że bankomat został wysadzony, ewentualnie wyciągnięty przy użyciu traktora: 

źródło: policja.gov

źródło: policja.gov 

Trafić można również na artykuł o tym, że została nałożona nakładka klejowa (z ang „cash trapping”).Ewentualnie nakładka kopiująca dane z karty (tzw. „skimmer”). Niewiele jednak w polskich mediach możemy znaleźć o ataku black box na ATM (inaczej jackpotting). Dlaczego? Bo w Polsce takie sytuacje są rzadkością, niemniej jednak są ciekawym, trochę nietypowym zjawiskiem, z którym warto się zapoznać. 


Czym jest atak black box na ATM?

To rodzaj logicznego ataku na bankomat, w którego trakcie sprawca najczęściej poprzez fizyczne zniszczenie bankomatu chce uzyskania dostępu do wewnętrznej infrastruktury, celem ingerencji w system operacyjny urządzenia. Działanie to ma na celu odłączenie bankomatu od infrastruktury bankowej i przypięcie do własnego urządzenia, zainfekowanie go i wydanie natywnych poleceń, powodujących zwolnienie gotówki w maszynie. 


Czym infekuje się bankomaty?

W 2018 roku w Stanach Zjednoczonych odnotowano kilkadziesiąt udanych ataków black box w bardzo krótkim czasu. Do tego działania wykorzystano, znany już wcześniej z Meksyku, malware Ploutus. Początkowo było to oprogramowanie kompatybilne tylko z urządzeniami firmy NCR. Oczywiście z biegiem czasu bankomaty zostały coraz lepiej zabezpieczane przez producentów, więc i przestępcy zaczęli rozszerzać używane przez siebie malware. Ploutus przeszedł do wersji Ploutus.D i jest obecnie w stanie zainfekować znacznie szerszą gamę rodzajów bankomatów

Wbrew temu, jakie informacje można znaleźć w niektórych artykułach, malware ten nie opiera się na wykorzystaniu podatności oprogramowania komputera. Wykorzystuje on wewnętrzny protokół oraz komunikację wewnętrzną urządzenia. 


Jak przebiega atak?

Na pierwszym etapie przygotowania, przestępcy muszą oczywiście zadbać o posiadanie wiedzy dotyczącej działania bankomatu. W Internecie można jednak znaleźć dokumentację techniczną ATM-ów różnych modeli, a nie szukając zbyt długo, można również nabyć, potrzebne do przeprowadzenia testów, wewnętrzne części bankomatu (dyspenser, terminal, komputer etc.). Kiedy dodatkowo malware jest już przygotowany, pora na fizyczne wykorzystanie go przy bankomacie. 

Na tym etapie przestępcy wykorzystują swoją kreatywność, która nie zna granic. Znane są przypadki podejmowania takich działań w nocy, znane są jednak i sytuacje, w których do ingerencji w urządzeniu dochodziło w trakcie dnia, a brak wzbudzania podejrzeń przez przechodniów oszuści zapewniali sobie poprzez przebranie się np. za konwój podjeżdżający do urządzenia regularnie. 

Częsty sposobem przedostania się do komputera bankomatu jest zniszczenie panelu świetlnego tego urządzenia:

Zazwyczaj ma to na celu wyjęcie dysku twardego urządzenia, zainfekowanie go i ponowne zainstalowanie.

Spotyka się również manipulację tylnej części bankomatu, jak miało to miejsce w Europie Wschodniej, gdzie przestępcy otworzyli urządzenie i podłączyli własnego laptopa w pełni obsługiwany zdalnie. We wspomnianych już wcześniej atakach na urządzenia, w Stanach Zjednoczonych wykorzystywano wywiercany w bocznej części obudowy otwór, przez który wprowadzany był endoskop, taki sam, jaki możemy widywać w rękach lekarzy. Miał on własne źródło światła oraz kamerkę przyłączoną do telefonu. 

Źródło: rebsonsecurity.com

Bez różnicy na sposób ingerencji w urządzenie, cel jest ten sam - przestępcy chcą dostać się do komputera bankomatu, celem bezpośredniego podłączenia urządzenia, które pozwala im na zainfekowanie oprogramowania. Przed zainstalowaniem malware, wyłączone zostają programy antywirusowe. Następnie widoczna jest w systemie utrata łączności sieciowej bankomatu z centralą, ale przyczyn takie zjawiska jest wiele, stąd też reakcja osób odpowiedzialnych za obserwację tego ruchu z reguły może być opóźniona. Przestępcy w tym czasie restartują system operacyjny, który po podniesieniu się jest w pełni przygotowany do ostatniego etapu akcji przestępczej, czyli wydania komendy wypłaty znajdujących się z nim środków pieniężnych. 


Jak się przed tym bronić? 

Indywidualna osoba przychodząca wypłacić gotówkę w tzw. „ścianie płaczu”, nie musi zaprzątać sobie głowy tym zagrożeniem. To atak wycelowany we właścicieli bankomatów, którzy w razie nieautoryzowanej wypłaty gotówki z urządzenia, nieksięgującej się na żadnym rachunku, zmuszeni będą ponieść koszty tego zdarzenia.

Ciekawostką jest, że atakujący nie musi być wprawionym programistą. Fałszywe oprogramowanie z powodzeniem można kupić w sieci, łącznie z instrukcją użycia. Niemniej jednak przestępcy pewnie jeszcze nie raz zaskoczą nas swoją kreatywnością i nowym podejście do popełnienia przestępstwa. 

<p>Loading...</p>

Powiązane artykuły

Dziel się wiedzą ze 160 tysiącami naszych czytelników

Zostań autorem Readme

Hitachi Energy

Security Architect

senior

15 000 - 21 000 PLN

Umowa o pracę

Krakow

Praca zdalna 100%

Ważna do 26.02.2022

Bardzo dobrze
Microsoft Azure and/or AWS

Hitachi Energy

Product Development Manager

senior

15 000 - 20 000 PLN

Umowa o pracę

Krakow

Praca zdalna 100%

Ważna do 26.02.2022

Bardzo dobrze
AgileSoftware Development Life Cycle Leadership skills

Simple SA

Java Developer (Mid/Senior)

medium

7 000 - 15 000 PLN

Kontrakt B2BUmowa o pracę

Praca zdalna 100%

Ważna do 26.02.2022

Dobrze
JavaSpringSpring Boot

Asseco Poland S.A.

Administrator / Starszy Administrator Systemów IT

medium

Brak widełek

Kontrakt B2BUmowa o pracę

Praca zdalna 100%

Ważna do 26.02.2022

Dobrze
PostgreSQLBash

Nokia

5G Automation Engineer, IODT

medium

Brak widełek

Umowa o pracę

Wrocław

Praca zdalna 100%

Ważna do 13.03.2022

Divante

Senior Vue.js Developer

senior

15 300 - 23 500 PLN

Kontrakt B2BUmowa o pracę

Wrocław

Praca zdalna 100%

Ważna do 13.03.2022

Dobrze
JavaScriptTypeScriptVue.js

T-Mobile Polska S. A.

Frontend Developer

medium

Brak widełek

Kontrakt B2B

Warsaw

Ważna do 26.02.2022

Bardzo dobrze
ReactReduxNode.js

Commerzbank - Centrum Technologii Cyfrowych w Polsce

Business Expert for Risk Applications

medium

Znamy widełki

Umowa o pracę

Łódź

Ważna do 26.02.2022

Dobrze
SQLMS Office
Początkująco
SAS / R / Python

Commerzbank - Centrum Technologii Cyfrowych w Polsce

Business Expert with German for Risk Analytics

medium

Znamy widełki

Umowa o pracę

Łódź

Ważna do 26.02.2022

Dobrze
MS Office
Początkująco
SQL / VBA / PythonQlik Sense / Qlik View / Arcadia

Więcej od Santander Bank Polska

Zobacz wszystkie artykuły od Santander Bank Polska