Rosyjska firma badawcza Group IB ostrzega, że hakerzy są w stanie zdalnie wydawać polecenia i zmuszać maszyny do wypłacania gotówki. Reuters wyjaśnia, że ofiarą takiego ataku padły już niektóre europejskie urządzenia liderów branży - Diebold Nixdorf i NCR.
Przestępcy działają w agresywny sposób: dążą do przejęcia kontroli nad możliwie największą liczbą bankomatów, by następnie wypłacić - niemal w tym samym czasie - maksymalną kwotę pieniędzy.
Przestępcy osiągając możliwość jednoczesnego ataku na wiele maszyn weszli na zupełnie nowy poziom. Zdają sobie sprawę z tego, że mogą być szybko schwytani, więc próbują ukraść z bankomatów ile się da - zanim zostaną powstrzymani.
- wyjaśnił w rozmowie z Reuterem Nicholas Billett specjalista Diebold Nixdorf.
Jackpotting - bo tak nazywa się w branży nowy rodzaj ataku - powoduje, że bankomaty zachowują się jak maszyny w kasynie, kiedy pada wygrana. Po prostu wyrzucają z siebie wszystkie nominały.
Ataki mają miejsce w całej Europie. Doszło do nich zarówno w Polsce jak i w Rumunii, Rosji, Holandii czy Wielkiej Brytanii.
Scenariusz ataku
Scenariuszy ataku na bankomaty jest kilka. Do tej pory przestępcy infekowali maszyny poprzez odpowiednio spreparowany klucz USB albo płytę, wybierając przy tym maszyny, do których można było uzyskać fizyczny dostęp. Wykradanie pieniędzy po zainfekowaniu systemu było więc w miarę proste. Ten sposób jest jednak ryzykowny, bo potrzeba nieco czasu, by przeprowadzić atak. Łatwiej też zauważyć osobę, która manipuluje przy bankomacie.
Nowe rodzaj ataku przebiega inaczej. Kaspersky wyjaśnia, że do kradzieży jest potrzebny ktoś z banku. Osoba ta przekazuje hakerom specjalne klucze otwierające drogę do infrastruktury sieciowej. Po wprowadzeniu przez przestępców odpowiednich zmian, bankomaty łączą się z fałszywymi serwerami. Wykorzystują oni też wszelkie luki i błędy w zabezpieczeniach oraz konfiguracji urządzeń. W ten sposób cała ich partia może zostać ogołocona w jednym czasie.
Tylko w Polsce jest ok. 23 tys. bankomatów, w skali Europy nawet niewielki odsetek przejętych maszyn może wiązać się więc z gigantycznymi stratami dla banków.
Nowy model zorganizowanej przestępczości
Shane Shook z Group IB twierdzi, że jesteśmy świadkami narodzin zupełnie nowego sposobu organizowania grup przestępczych. Jest to coś w rodzaju e-mafii. Możliwe, że ta sama grupa przestępców, która odpowiada za ataki na bankomaty, okrada też organizacje rządowe poprzez infekcję systemu SWIFT. Bangladesz stracił w ten sposób kilkadziesiąt milionów euro.
Cyberprzestępcy działający w takiej e-mafii są też w stanie przeprowadzić inne, zakrojone na gigantyczną skalę operacje, których celem jest wykradanie pieniędzy.
Z jednej strony - zdalny atak na bankomat nie jest sprawą prostą i wymaga np. włamania się do sieci bankowej lub zaangażowania osoby mającej dostęp do bankowych systemów transakcyjnych. Niestety, nie jest to scenariusz nieprawdopodobny. Jak pokazuje choćby przykład jednego z największych cyberataków finansowych - Carbanak - zaawansowani cyberprzestępcy są w stanie tego dokonać. Gang stojący za Carbanakiem był w stanie nie tylko przelewać pieniądze na dowolne konta, ale także np. wypłacać gotówkę z bankomatów o określonej porze - wszystko poprzez manipulowanie zhakowaną wcześniej siecią zaatakowanego banku. Cyberprzestępcy nieustannie doskonalą swoje umiejętności i obserwujemy wyrafinowane działania na tym polu. Odpowiednio zmotywowani (najczęściej finansowo) atakujący są w stanie przygotować mechanizmy na najwyższym poziomie technologicznym. Przykładem może być cybergang ProjectSauron atakujący m.in. organizacje rządowe, centra naukowe oraz organizacje finansowe, który dla każdej ofiary przygotował unikatowy zestaw skomplikowanych mechanizmów infekcji.
- wyjaśnił w rozmowie z nami Piotr Kupczyk, dyrektor biura komunikacji z mediami Kaspersky Lab.
Jak nie dać się okraść korzystając z bankomatu? Zdradzamy sposoby na skimmerów
