Banka | Malware

ATM jackpotting: Když hacker ovládne bankomat a stačí mu jen pár sekund

  • Klasický malware pro PC už dnes nikoho nepřekvapí
  • Bankomaty jsou ale také počítače
  • Útočí se na ně dodnes

Když přijde řeč na bezpečnost a běžné uživatele, občas se trpce pousmějeme nad chabými hesly, děravým zabezpečením domácích Wi-Fi routerů nebo třeba nad věčným klikáním na přílohy a odkazy v e-mailech, u kterých je už na první pohled zřejmé, že se jedná o podvodný phishing.

Zatímco u běžných smrtelníků je absence pokročilého zabezpečení ještě jakžtakž pochopitelná, o to zarážející je skutečnost, že občas nějakou tu botu udělají i ti, pro které je bezpečnost náplní práce. Třeba banky.

Jejich bankomaty čelí kybernetickým útokům odjakživa a není se čemu divit, obalamutit plechovou krabici plnou bankovek, aby vám je vydala, je totiž občas snazší než realizace sofistikované ransomwarové kampaně s krajně nejistým výsledkem.

Děravá Xpéčka

I když totiž bankomaty vypadají všelijak, ve své podstatě to jsou v nitru vcelku běžné počítače, na kterých ještě nedávno ve velké míře běžely prehistorická Windows XP – Xpéčka, která mohou chytit virus.

Ukázka útoku na bankomat podle KasperskyLab:

Jeden takový se jmenoval Ploutus, bezpečnostní analytici jej poprvé zaznamenali v roce 2013 a k jeho nahrání do bankomatu posloužila servisní jednotka CD-ROM. Díky aktivovanému automatickému spouštění programů na externím médiu se pak malware dostal do systému a na povel vydal peníze ze zásobníku.

Klepněte pro větší obrázek
Bankomat s Windows se právě nakazil skrze CD-ROM programem Tyupkin. Stačí zvolit zásobník peněz (cassette) a začnou létat bankovky.

Aby to bylo možné, malware musel získat speciální práva, jak se však později ukázalo, mnohé bankomaty používaly výchozí zabezpečení od výroby. Stručně řečeno, trpěly stejným bezpečnostním neduhem jako mnohé starší domácí Wi-Fi sítě, jejichž routery/AP používají ve webové administraci výchozí kombinaci přihlašovacího jména a hesla.

K USB se dostanete za pár sekund, potvrzují čeští experti

Přístup k optické jednotce bankomatu samozřejmě vyžadoval dostatečné soukromí a znalost samotného zařízení, to se však změnilo s nástupem bankomatů se servisními USB porty. Slouží k tomu, aby mohl skutečný technik k bankomatu připojit třeba klávesnici, nebo externí úložiště a provedl, co potřebuje.

Bylo jen otázkou času, kdy regulérního technika u bankomatu nahradí opět náš hypotetický záškodník. Tedy, on vlastně není nikterak hypotetický, tímto způsobem se totiž na bankomaty útočí i dnes. Stačí najít USB port a připojit klávesnici, externí flashové úložiště nebo třeba jen mobil.

Možná vás napadne, že se jedná pouze o teoretické riziko, protože USB port bude jistě umně schovaný a dobře zabezpečený, opak je ale pravdou. „Ověřili jsme si, že člověk, který ví, kde hledat, se ke skrytému USB portu bankomatu dostane v řádu sekund,“ vysvětluje Tomáš Sláma, šéf penetračních testerů AEC.

Společnost AEC nedávno provedla audit v nejmenované slovenské finanční instituci poté, co jeden z největších dodavatelů bankomatů Diebold Nixdorf rozeslal zákazníkům varování ohledně zjištěných kybernetických útoků na jeho zařízení, které se hojně používají také v Česku a na Slovensku.

ATM jackpotting

Přístup k takto kritické části bankomatu tedy nemusí být vůbec složitý a nevyžaduje ani technickou znalost zařízení – vše je už dávno na Googlu. Ze stejného důvodu už nejsou útoky tohoto typu – takzvaný ATM jackpotting – doménou výhradně špičkových záškodníků, ale ATM jackpotting je dnes na darknetových e-shopech (Tor apod.) nabízený i jako komerční produkt.

Klepněte pro větší obrázek
Reklama na bankomatový malware na někdejším darknetovém e-shopu AlphaBay. Cena je relativně vysoká, ale může se vrátit už při prvním úspěšném útoku na bankomat.

To znamená, že si může jakýkoliv zájemce za určitou bitcoinovou částku koupit některou z těchto utilit, zkopírovat ji na běžnou flešku a podle návodu ji připojit k bankomatu. Třeba takový Cutlet Maker pro bankomaty s Windows, který v nedávné minulosti opět spoléhal v chabé hardwarové i softwarové zabezpečení a útočníkovi přímo na displeji bankomatu zobrazil jak zůstatek v zásobnících, tak možnost výběru.

Program si mohli zájemci zprvu koupit a používat dle libosti, načež jeho autor obchodní model vylepšil a obdařil jej vstupním pinem – kódem. Program tedy vydal peníze pouze v případě, že jste zadali správné heslo, které jste si koupili přímo na webu. Díky tomu se mohl program volně šířit internetem.

Peníze zdarma vydává jen v neděli

Mnohé z těchto bankovních malwarů měly i docela propracovaný systém vlastního zabezpečení. Jakmile program útočník nahrál do bankomatu, ten po sobě všemožně zametl stopy a reagoval třeba jen v určitý den v týdnu – typicky v neděli.

Klepněte pro větší obrázek
Cutler Maker vydá sušenky, ale až poté, co zadáte správné heslo. Tlačítko CHECK HEAT vydá bankovku ze zvoleného zásobníku, start cooking! pak sérii bankovek.

Pokud jste se jej pokusili na terminálu vyvolat v jiný den, jednoduše mlčel a jeho autor doufal v to, že jej tak neodhalí případná kontrola. A kdyby k tomu přece jen došlo a někdo malware použil neoprávněně – třeba by zadal chybné aktivační heslo, program na krátký čas odpojí bankomat od internetové sítě. Tím se bránil proti dálkovému auditu.

Klepněte pro větší obrázekKlepněte pro větší obrázek
Nákup kódu na torovém darknetu

Případ s bankomaty Diebold Nixdorf ukazuje, že byť se o exotickém ATM jackpottingu příliš nemluví a v celém balíku malwaru tvoří jen zanedbatelnou část, stále láká záškodníky po celém světě s vidinou, že se bankomat vlastně docela rychle a snadno – ideálně s přispěním bílého koně – promění v kouzleného oslíka, ze kterého vypadávají bankovky.

Diskuze (8) Další článek: Válka o Fortnite: Apple vyhrožuje vzdorovitým Epic Games zablokováním vývojářských účtů

Témata článku: Google, Windows, Internet, Bezpečnost, Wi-Fi, Česko, Hacking, Banka, Malware, USB, Windows XP, Slovensko, KasperskyLab, Česká republika, Hacker, Zabezpečení, Bankovka, Počítač, AEC, Pár sekund, ATM, Bankomat, Nixdorf, Wi-fi síť


Určitě si přečtěte

Nvidia představila grafické karty GeForce RTX 3090, RTX 3080 a RTX 3070. Známe české ceny

Nvidia představila grafické karty GeForce RTX 3090, RTX 3080 a RTX 3070. Známe české ceny

** Nvidia uvedla nové desktopové grafické karty GeForce RTX 3000 ** Jedná se o modely GeForce RTX 3070, 3080 a 3090 ** K výrobě se používá 8nm technologii od Samsungu

Karel Javůrek | 67

Šmírování kamerami Googlu: Koukněte, co šíleného se objevilo na Street View

Šmírování kamerami Googlu: Koukněte, co šíleného se objevilo na Street View

Google stále fotí celý svět do své služby Street View. A novodobou zábavou je hledat v mapách Googlu vtipné záběry. Podívejte se na výběr nejlepších!

redakce | 4


Aktuální číslo časopisu Computer

Megatest mobilů do 8 000 Kč

Test bezdrátových headsetů

Linux i pro začátečníky

Jak surfovat anonymně