Công ty Diebold Nixdorf, có doanh số bán hàng và dịch vụ máy rút tiền tự động lên đến 3.3 tỷ đô la năm ngoái, đang cảnh báo các cửa hàng, ngân hàng và khách hàng khác về một hình thức mới của Jackpotting dựa trên phần cứng.
Phiên bản mới sử dụng một thiết bị chạy các phần của bộ phần mềm độc quyền của công ty. Kẻ tấn công sau đó kết nối thiết bị với bên trong máy rút tiền và đưa ra các lệnh. Các cuộc tấn công thành công có thể dẫn đến một dòng tiền mặt, đôi khi được phát ra càng nhanh càng tốt, mỗi 23 giây có thể phát ra tới 40 tờ tiền. Thiết bị được gắn kết bằng cách có được quyền truy cập vào một chiếc chìa khóa mở khóa thùng máy rút tiền hoặc bằng cách khoan lỗ hoặc phá vỡ khóa vật lý khác để có quyền truy cập vào bên trong máy.
Trong những cuộc tấn công jackpotting trước đây, các thiết bị được gắn kết, được biết đến trong ngành công nghiệp với tên gọi là hộp đen, thường kích hoạt các giao diện lập trình có trong hệ điều hành máy rút tiền để đưa ra các lệnh cuối cùng đến thành phần phần cứng phát tiền mặt. Gần đây, Diebold Nixdorf đã quan sát thấy một loạt các cuộc tấn công hộp đen mà trong đó có các phần của phần mềm độc quyền của công ty.
“Một số cuộc tấn công thành công cho thấy một phương pháp thực hiện mới được điều chỉnh về cách cuộc tấn công được thực hiện,” Diebold Nixdorf cảnh báo trong một cảnh báo bảo mật đang hoạt động được phát hành vào tuần trước và được cung cấp cho Ars bởi một đại diện của công ty. “Mặc dù kẻ gian vẫn đang kết nối một thiết bị bên ngoài, ở giai đoạn này của cuộc điều tra của chúng tôi, dường như thiết bị này cũng chứa các phần của bộ phần mềm đang bị tấn công trong máy rút tiền.”
Cảnh báo nói ở một nơi khác:
Chung quy, jackpotting là một loại tấn công nhằm vào việc rút tiền một cách bất hợp pháp từ máy ATM. Biến thể hộp đen của jackpotting không sử dụng ngăn xếp phần mềm của máy ATM để rút tiền từ terminal. Thay vào đó, kẻ gian kết nối thiết bị riêng của mình, “hộp đen,” vào máy rút tiền và nhắm mục tiêu vào giao tiếp với thiết bị xử lý tiền mặt trực tiếp.
Trong các sự kiện gần đây, những kẻ tấn công đang tập trung vào các hệ thống ngoại trời và phá hủy một số phần của tấm trang trí để có quyền truy cập vật lý vào ngăn đầu. Tiếp theo, cáp USB giữa bộ phát tiền CMD-V4 và điện tử đặc biệt, hoặc cáp giữa điện tử đặc biệt và máy tính ATM, đã bị rút ra. Cáp này được kết nối với hộp đen của kẻ tấn công để gửi lệnh rút tiền bất hợp pháp.
Một số sự cố cho thấy hộp đen chứa các phần cá nhân của ngăn xếp phần mềm của máy ATM bị tấn công. Cuộc điều tra về cách những phần này được kẻ gian có được đang tiếp tục. Một khả năng có thể là thông qua một cuộc tấn công offline vào ổ cứng không mã hóa.
Số lượng tấn công đang gia tăng nhằm vào các terminal dòng ProCash của công ty, đặc biệt là mô hình USB ProCash 2050xs. Các cuộc tấn công đang diễn ra ở 'một số quốc gia châu Âu cụ thể,' theo cảnh báo.
Bruno Oliveira, một chuyên gia về an ninh ATM, cho biết ông đã nghe về phiên bản trước của cuộc tấn công hộp đen. Thiết bị kết nối này thao tác các API được bao gồm trong các tiện ích mở rộng hệ điều hành như XFS hoặc CFS, tương tác với máy chủ từ xa do các tổ chức tài chính vận hành. Hộp đen, giả mạo máy tính cá nhân của ATM, có thể là laptop hoặc phần cứng Raspberry hoặc Arduino khá dễ xây dựng, Oliveira nói. Hộp đen là một trong bốn kỹ thuật jackpotting mà Diebold Nixdorf mô tả ở đây.
Trong một số trường hợp, các thiết bị kết nối trực tiếp với máy phát tiền mặt và đưa ra lệnh để nó phun ra tiền mặt. Hình thức tấn công hộp đen khác kết nối vào cáp mạng và ghi lại thông tin của người giữ thẻ khi nó được truyền đi và lại giữa ATM và trung tâm giao dịch xử lý phiên. Thiết bị kết nối sau đó thay đổi số lượng rút tối đa được ủy quyền hoặc giả mạo làm hệ thống máy chủ để cho phép ATM phát ra số lượng tiền lớn.
Brochure về jackpotting được liên kết ở trên mô tả hai loại tấn công khác nhau. Loại đầu tiên thay thế ổ cứng chính thức bằng một được tạo ra bởi những kẻ tấn công. Loại khác sử dụng tấn công lừa đảo chống lại nhân viên ngân hàng. Khi kẻ tấn công có quyền truy cập vào mạng của một tổ chức tài chính, họ ra lệnh để nhiễm máy ATM bằng phần mềm độc hại có thể được sử dụng để làm sạch máy.
Biến thể tấn công mới được mô tả bởi Diebold là cả tin tốt và tin xấu cho người tiêu dùng. Mặt một, không có dấu hiệu cho thấy kẻ trộm đang sử dụng ngăn xếp phần mềm mới mua để đánh cắp dữ liệu thẻ. Tin xấu là những kẻ tấn công dường như đã sở hữu phần mềm độc quyền làm tăng hiệu suất tấn công. Sự tăng lên gần đây của jackpotting thành công cuối cùng dẫn đến việc tăng chi phí, khi các tổ chức tài chính chuyển gánh nặng chi phí do những tổn thất gây ra. Diebold đã đưa ra nhiều biện pháp phòng vệ mà chủ sở hữu ATM có thể thực hiện để bảo vệ khỏi những cuộc tấn công.
Có ít điều người dùng ATM có thể làm để ngăn chặn jackpotting. Tuy nhiên, quan trọng là chỉ sử dụng các ATM thuộc sở hữu của các ngân hàng lớn và tránh xa những từ doanh nghiệp nhỏ. Cũng là ý tưởng tốt để che chắn bàn phím khi nhập mã PIN và kiểm tra bảng sao kê ngân hàng mỗi tháng để tìm kiếm bất kỳ giao dịch không được ủy quyền nào.
Câu chuyện này xuất hiện ban đầu trên Ars Technica.
- Đất nước đang mở cửa trở lại. Tôi vẫn đang ở trong tình trạng phong tỏa
- Làm thế nào để sử dụng Slack mà không làm phiền đồng nghiệp của bạn
- Covid-19 đang thúc đẩy quá trình biến đổi con người—hãy không lãng phí nó
- Dưới đây là cách đọc một cuộc thăm dò bầu cử đúng cách
- DoNotPay hủy đăng ký bạn khỏi thư rác—và cố gắng để bạn nhận tiền
- 👁 Chuẩn bị cho việc trí tuệ nhân tạo tạo ra ít phép màu hơn. Ngoài ra: Nhận tin tức AI mới nhất
- 🎙️ Nghe Get MINPRICE, podcast mới của chúng tôi về cách tương lai được thực hiện. Nghe các tập mới nhất và đăng ký 📩 bản tin để theo dõi tất cả các chương trình của chúng tôi
- ✨ Tối ưu hóa cuộc sống tại nhà của bạn với những lựa chọn tốt nhất của đội ngũ Gear chúng tôi, từ robot hút bụi đến đệm giá rẻ đến loa thông minh