Hacker sử dụng Samsung Galaxy 4 để đánh cắp các hệ thống ATM

Tội phạm mạng đã dùng đến một cuộc tấn công đơn giản nhưng hiệu quả để khiến cho hệ thống ATM phân phát tiền mặt lưu trữ trong máy, mà không cần phải đưa thẻ  vào, dựa vào một số lệnh được gửi thông qua điện thoại Samsung Galaxy 4.

Loại điện thoại thông minh này không có bất kỳ liên hệ nào với việc thực hiện vụ cướp thành công, vì nó chỉ được sử dụng để chuyển tiếp các lệnh tới máy từ một cá nhân khác, nằm ở một nơi khác.

Yêu cầu truy cập vật lý vào máy

Tội phạm mạng nhắm vào các máy ATM sơ hở và dễ dàng bị truy cập trái phép, chẳng hạn như các máy độc lập ở những nơi nhập nhoạng, bởi vì chúng cần đạt được quyền truy cập vật lý vào bên trong của hệ thống. Về cơ bản, tội phạm mạng ngắt kết nối máy rút tiền từ các máy tính được kết nối mà chúng kết nối và móc nối điện thoại thông minh thay thế.

Trong một trường hợp, thủ phạm cũng đã sử dụng một bảng mạch có kết nối USB để móc nối nó vào hệ thống, nhằm lừa máy tính tin rằng nó vẫn còn kết nối với các máy rút tiền. Tuy nhiên, thiết bị này là không cần thiết khi tội phạm mạng thao tác.

Những trường hợp như vậy, gọi là “tấn công hộp đen”, đã được tiến hành đối với các máy thực hiện bởi NCR, nhà sản xuất chính trong thị trường này, blogger bảo mật Brian Krebs báo cáo.

Trước đây, các sản phẩm của công ty đã trở thành mục tiêu của một cuộc tấn công hợp lý khác kéo theo việc truy cập vào các đĩa CD-ROM của máy tính kết nối với máy ATM và tải lên một phần mềm độc hại cho phép chiếm quyền điều khiển máy tính.

Kaspersky phân tích phần mềm độc hại, với tên gọi là Tyupkin, và hồi đầu tháng 10/2014, họ đã công bố thông tin về cách thức hoạt động mà tội phạm mạng tiến hành.

Phát biểu với Charlie Harrow, Krebs, nhà quản lý giải pháp cho an ninh toàn cầu của NCR,  đã biết được rằng NCR gặp một số rắc rối trong việc tìm ra cách thức xử lý các lệnh, vì điện thoại di động nhận được lệnh từ một máy chủ từ xa.

Firmware mới phát hành cho máy được NCR sản xuất

Cho đến thời điểm hiện tại, chỉ có hai vụ tấn công vào hộp đen được ghi nhận bởi NCR, nhưng công ty đã ban hành một bản cập nhật firmware cho khách hàng của mình tăng cường mã hóa cho các thông tin liên lạc giữa các máy rút tiền và máy tính.

Hiện nay, các trao đổi khóa mã hóa cần thiết cho việc kết nối giữa máy tính – máy ATM chỉ được thực hiện nếu một chuỗi xác thực cụ thể có sẵn.

Harrow bổ sung thêm: “Tất cả mọi thứ cần được cân nhắc, đó là một cuộc tấn công không tốn kém. Nếu bạn biết cách gửi đúng lệnh, thực hiện điều này tương đối đơn giản. Đó là lý do cần có xác thực tốt hơn”. Một thay đổi khác trong bản cập nhật liên quan đến khả năng chặn firmware quay lại phiên bản cũ.

Softpedia