Jak wypłacić całą gotówkę z bankomatu, czyli black box
A gdyby tak podejść do bankomatu i wypłacić z niego całą gotówkę? Niemożliwe? A jednak… przestępcy (ale tylko Ci niektórzy) wiedzą, jak to zrobić. Zaciekawiło Cię to? Zapraszamy do lektury artykułu… ☺
Zdarza się, że słyszymy w radiu lub telewizji, czy czytamy w prasie, że bankomat został wysadzony, ewentualnie wyciągnięty przy użyciu traktora:
źródło: policja.gov
źródło: policja.gov
Trafić można również na artykuł o tym, że została nałożona nakładka klejowa (z ang „cash trapping”).Ewentualnie nakładka kopiująca dane z karty (tzw. „skimmer”). Niewiele jednak w polskich mediach możemy znaleźć o ataku black box na ATM (inaczej jackpotting). Dlaczego? Bo w Polsce takie sytuacje są rzadkością, niemniej jednak są ciekawym, trochę nietypowym zjawiskiem, z którym warto się zapoznać.
Czym jest atak black box na ATM?
To rodzaj logicznego ataku na bankomat, w którego trakcie sprawca najczęściej poprzez fizyczne zniszczenie bankomatu chce uzyskania dostępu do wewnętrznej infrastruktury, celem ingerencji w system operacyjny urządzenia. Działanie to ma na celu odłączenie bankomatu od infrastruktury bankowej i przypięcie do własnego urządzenia, zainfekowanie go i wydanie natywnych poleceń, powodujących zwolnienie gotówki w maszynie.
Czym infekuje się bankomaty?
W 2018 roku w Stanach Zjednoczonych odnotowano kilkadziesiąt udanych ataków black box w bardzo krótkim czasu. Do tego działania wykorzystano, znany już wcześniej z Meksyku, malware Ploutus. Początkowo było to oprogramowanie kompatybilne tylko z urządzeniami firmy NCR. Oczywiście z biegiem czasu bankomaty zostały coraz lepiej zabezpieczane przez producentów, więc i przestępcy zaczęli rozszerzać używane przez siebie malware. Ploutus przeszedł do wersji Ploutus.D i jest obecnie w stanie zainfekować znacznie szerszą gamę rodzajów bankomatów.
Wbrew temu, jakie informacje można znaleźć w niektórych artykułach, malware ten nie opiera się na wykorzystaniu podatności oprogramowania komputera. Wykorzystuje on wewnętrzny protokół oraz komunikację wewnętrzną urządzenia.
Jak przebiega atak?
Na pierwszym etapie przygotowania, przestępcy muszą oczywiście zadbać o posiadanie wiedzy dotyczącej działania bankomatu. W Internecie można jednak znaleźć dokumentację techniczną ATM-ów różnych modeli, a nie szukając zbyt długo, można również nabyć, potrzebne do przeprowadzenia testów, wewnętrzne części bankomatu (dyspenser, terminal, komputer etc.). Kiedy dodatkowo malware jest już przygotowany, pora na fizyczne wykorzystanie go przy bankomacie.
Na tym etapie przestępcy wykorzystują swoją kreatywność, która nie zna granic. Znane są przypadki podejmowania takich działań w nocy, znane są jednak i sytuacje, w których do ingerencji w urządzeniu dochodziło w trakcie dnia, a brak wzbudzania podejrzeń przez przechodniów oszuści zapewniali sobie poprzez przebranie się np. za konwój podjeżdżający do urządzenia regularnie.
Częsty sposobem przedostania się do komputera bankomatu jest zniszczenie panelu świetlnego tego urządzenia:
Zazwyczaj ma to na celu wyjęcie dysku twardego urządzenia, zainfekowanie go i ponowne zainstalowanie.
Spotyka się również manipulację tylnej części bankomatu, jak miało to miejsce w Europie Wschodniej, gdzie przestępcy otworzyli urządzenie i podłączyli własnego laptopa w pełni obsługiwany zdalnie. We wspomnianych już wcześniej atakach na urządzenia, w Stanach Zjednoczonych wykorzystywano wywiercany w bocznej części obudowy otwór, przez który wprowadzany był endoskop, taki sam, jaki możemy widywać w rękach lekarzy. Miał on własne źródło światła oraz kamerkę przyłączoną do telefonu.
Źródło: rebsonsecurity.com
Bez różnicy na sposób ingerencji w urządzenie, cel jest ten sam - przestępcy chcą dostać się do komputera bankomatu, celem bezpośredniego podłączenia urządzenia, które pozwala im na zainfekowanie oprogramowania. Przed zainstalowaniem malware, wyłączone zostają programy antywirusowe. Następnie widoczna jest w systemie utrata łączności sieciowej bankomatu z centralą, ale przyczyn takie zjawiska jest wiele, stąd też reakcja osób odpowiedzialnych za obserwację tego ruchu z reguły może być opóźniona. Przestępcy w tym czasie restartują system operacyjny, który po podniesieniu się jest w pełni przygotowany do ostatniego etapu akcji przestępczej, czyli wydania komendy wypłaty znajdujących się z nim środków pieniężnych.
Jak się przed tym bronić?
Indywidualna osoba przychodząca wypłacić gotówkę w tzw. „ścianie płaczu”, nie musi zaprzątać sobie głowy tym zagrożeniem. To atak wycelowany we właścicieli bankomatów, którzy w razie nieautoryzowanej wypłaty gotówki z urządzenia, nieksięgującej się na żadnym rachunku, zmuszeni będą ponieść koszty tego zdarzenia.
Ciekawostką jest, że atakujący nie musi być wprawionym programistą. Fałszywe oprogramowanie z powodzeniem można kupić w sieci, łącznie z instrukcją użycia. Niemniej jednak przestępcy pewnie jeszcze nie raz zaskoczą nas swoją kreatywnością i nowym podejście do popełnienia przestępstwa.