Przestępcy znaleźli kolejny sposób na okradanie bankomatów. Włamują się do nich zdalnie

Daniel Maikowski
Włamują się do dziesiątek bankomatów, kradną setki tysięcy dolarów i nie pozostawiają po sobie absolutnie żadnych śladów. Eksperci wskazują na nowy skuteczny sposób działania cyberprzestępców.

Cyberprzestępcy znają wiele skutecznych metod okradania bankomatów. Większość z nich wymaga jednak fizycznego dostępu do urządzenia - czy to w celu zainstalowania tzw. skimmera (nakładka na klawiaturę bankomatu, która kopiuje informacje z pasków magnetycznych znajdujących się na kartach płatniczych), czy też w celu zainfekowania bankomatu złośliwym oprogramowaniem, co pozwala przejąc kontrolę nad maszyną.

Wymienione wyżej sposoby wiążą się z dużym ryzykiem. Przestępca musi mieć czas, aby zainstalować skimmer lub zainfekować bankomat. Ryzyko wpadki jest duże, a banki coraz lepiej zabezpieczają się na wypadek fizycznej manipulacji przy urządzeniu.

Scenariusz zdalnego ataku na sieć bankomatówScenariusz zdalnego ataku na sieć bankomatów fot. Trend Micro

Atak w "białych rękawiczkach"

Z nowego raportu firmy Trend Micro wynika, że cyberprzestępcy znaleźli jednak nowy sposób na włamanie do bankomatu "w białych rękawiczkach". Chodzi o zdalne ataki z wykorzystaniem wewnętrznej sieci banku. Ataki te są zdecydowanie bezpieczniejsze, ale jednoczeskie trudniejsze w realizacji niż podejście do maszyny w kominiarce.

Typowy scenariusza takiego ataku prezentuje się następująco: Przestępca uzyskuje dostęp do wewnętrznej sieci banku, wykorzystując do tego socjotechnikę. Najczęściej jest to e-mail ze złośliwym oprogramowaniem wysłany pracownikom banku, w którym proszeni są np. opłacenie faktury, co wymaga otwarcia zainfekowanego załącznika.  

Po uzyskaniu dostępu do wewnętrznej sieci banku, przestępy mogą uzyskać kontrolę nad praktycznie każdym znajdującym się w niej bankomatem. Ostatni etap ataku to wyciągnięcie pieniędzy z bankomatu przez osoby współpracujące z przestępcami. 

Niektóre rodziny wirusów potrafią nawet samoistnie usuwać się z systemów, co pozwala na zatarcie śladów przestępstwa

- czytam w raporcie Trend Micro.

Nie są to tylko teoretyczne rozważania. Właśnie w taki sposób w 2016 roku włamano się do sieci bankomatów w Tajlandii. Cyberprzestępcy ukradli wówczas równowartość 346 tysięcy dolarów z 21 bankomatów, wykorzystując do ataku wirusa "Ripper". Skutki ataku mogły być jednak poważniejsze, bo Ripper zainfekował nawet 10 tys. maszyn.

Tajwański skok

Jeszcze ciekawszy przebieg miał atak na sieć First Commerce Bank, w wyniku którego przestępcy ukradli 2,4 mln dolarów z 22 placówek banku zlokalizowanych w Tajwanie.

Schemat tajwańskiego skokuSchemat tajwańskiego skoku fot. Trend Micro

Wszystko zaczęło się od ataku na londyńską placówkę banku. Przestępcy wykorzystali system nagrywania głosu, aby wykraść uprawnienia administratora sieci. Następnie wykorzystali uprawnienia, aby zhakować firmową sieć VPN, obejść zabezpieczenia i uzyskać dostęp do tajwańskiego oddziału banku. Gdy znaleźli się wewnątrz sieci, zlokalizowali system odpowiedzialny za aktualizację oprogramowania bankomatów.

Następni spreparowali plik aktualizacji, infekując go złośliwym oprogramowaniem, co pozwoliło im na nieautoryzowane wypłaty. W tym samym czasie współpracujący z nimi "zbieracze" byli już gotowi do odebrania pieniędzy z bankomatów. Po zakończeniu operacji cyberprzestępcy zatarli ślady, usuwając malware i wylogowując się z systemu.

Badacze z Trend Micro podkreślają, że choć tego typu ataki są trudne w realizacji i wymagają dłuższych przygotowań, to jednak stają się coraz popularniejsze.

Więcej o: