- Dave McKay
@thegurkha
- 24 de mayo de 2021, 8: 00am EDT
Los ciberdelincuentes están librando una guerra contra los bancos, vaciando sus cajeros automáticos de dinero. Sus herramientas de elección son malware, una clave de eBay y una Raspberry Pi. Así es como lo hacen.
Golpear el bote
Han pasado más de diez años desde que el fallecido hacker e investigador de ciberseguridad Barnaby Michael Douglas Jack demostró a una audiencia cautivada cómo podía comprometer a los cajeros automáticos. La presentación de Jack tuvo lugar el 28 de julio de 2010, en la conferencia Black Hat USA en Las Vegas. A diferencia de las famosas máquinas tragamonedas de Las Vegas, los dos cajeros automáticos en el escenario con Jack se podían hacer para dispensar dinero en efectivo hasta que estuvieran vacíos, siempre. Fiable y repetidamente.
Es apropiado que el término jackpotting se acuñara en lo que probablemente sea la ciudad de juego más famosa del mundo. Se usa para describir ataques dirigidos a cajeros automáticos y vaciarlos. El otro ataque de cajero automático común es el skimming, en el que los números PIN de los usuarios y los datos de sus tarjetas se copian y se usan para crear tarjetas clonadas.
El Jackpot está en aumento, lo que resulta en la pérdida de decenas de millones de dólares cada año. Cientos de miles de cajeros automáticos han sido atacados en Asia y Europa, y los ataques están aumentando en Estados Unidos. Algunas estimaciones dicen que los cajeros automáticos de 100 bancos diferentes en 30 países han sido afectados desde 2016, compensando los diversos actores de la amenaza en la región de 1 1 mil millones.
Estas operaciones a gran escala son sofisticadas. Requieren planificación, vigilancia, un pequeño ejército de tropas terrestres o mulas, algo de conocimiento, algo de malware y algo de equipo. Atrás quedaron los días en que encadenas el cajero automático a tu camión y te vas con él.
Ahora puede usar una Raspberry Pi.
El Modus Operandi
Un cajero automático es efectivamente un ordenador en un recinto reforzado unido a cajones llenos de dinero. Lamentablemente, el sistema operativo dentro de las computadoras no está tan endurecido como la carcasa en la que se encuentra la computadora. La mayoría se ejecuta en Windows 7, aunque Windows XP también es común. Estos son sistemas operativos obsoletos que deberían haberse retirado hace mucho tiempo. Sus vulnerabilidades son abundantes y bien comprendidas por los ciberdelincuentes.
Los paquetes de malware se pueden comprar en la web oscura para explotar las vulnerabilidades de estos sistemas operativos e interactuar con el software de cajeros automáticos. Tienen nombres como cajero automático, fabricante de chuletas, dispensador verde, efectivo rápido y pilón. Los precios oscilan entre around 200 y dollars 1000 dólares, dependiendo de la marca y el modelo de los cajeros automáticos a los que apuntes. Algunos de los paquetes de malware contienen software propietario comprometido que pertenece a los fabricantes de cajeros automáticos.
También gastará alrededor de $150 por las piezas de equipo que necesitará, incluida su Raspberry Pi.
Paso 1: ¿Dónde están los Objetivos?
Los cajeros automáticos de una ciudad se mapean y estudian. Los buenos objetivos son los de mayor uso, porque son los que tienen más dinero. Los objetivos ideales son los cajeros automáticos de alto valor en áreas con poca o ninguna vigilancia.
Los ataques suelen programarse para días como el Viernes Negro o el Día de San Valentín, cuando los cajeros automáticos están cargados con hasta un 20 por ciento más de dinero de lo habitual. Los cajeros automáticos también están cargados con dinero extra en las semanas previas a la Navidad porque muchos habrán recibido su bono anual o de Navidad en su paga.
Paso 2: ¿Cuáles son las Marcas y Modelos de Cajeros Automáticos?
El conocimiento del hardware del cajero automático le permite comprar el malware adecuado y la llave adecuada para abrir el gabinete del cajero automático. Algunos fabricantes ponen su nombre en el cajero automático en algún lugar, lo que facilita la identificación. Los grandes nombres en la fabricación de cajeros automáticos son Diebold Nixdorf, Wincor Nixdorf, NCR, Triton y Hitachi-Omron.
Fotografiar el cajero automático le permite obtener asistencia de los contactos de la web oscura o de la búsqueda de imágenes de Google para determinar la marca y el modelo. Una vez que esté armado con las versiones de los cajeros automáticos que va a comprometer, puede buscar en los mercados de la web oscura, e incluso en los puntos de venta web transparentes como Ali Babá y eBay, las claves de mantenimiento de los cajeros automáticos.
Los precios de estos comienzan en $10 y aumentan a alrededor de 5 50. Usarás la llave para abrir el cajero automático y acceder a los puertos USB.
Paso 3: Instalar Malware
Los puertos USB de los cajeros automáticos están restringidos y solo aceptarán una conexión desde un teclado o un ratón. Esto es para permitir que los militares realicen el mantenimiento de las unidades. Habrá cargado el malware en su Raspberry Pi y obtenido una batería para que pueda funcionar como una unidad portátil.
El malware está escrito de una manera que convence al cajero automático de que Raspberry Pi es un teclado. Los comandos almacenados salen del Raspberry Pi hacia el cajero automático, y el cajero automático los sigue diligentemente.
Paso 4: Jackpot
Es posible hacer que un cajero automático escupa billetes a una velocidad de 40 billetes en aproximadamente 20 segundos, o aproximadamente 120 en un minuto. Si son billetes de 100 dólares, son 12.000 dólares por minuto.
Jackpot de hecho.
Variaciones sobre un Tema
El jackpot a gran escala llega a muchos cajeros automáticos a la vez, lo que significa que necesita que mucha gente en las calles realice estos ataques y le traiga el dinero. Estas son las mulas baratas en el extremo inferior del espectro criminal. Con un poco de entrenamiento y entrenamiento, estos operativos de bajo nivel son capaces de hacer el lado físico del ataque, y el malware hace el resto.
Es más barato equipar a una mula con una Raspberry Pi que con una computadora portátil, y una Raspberry Pi es más fácil de ocultar en su persona. A veces, el Raspberry Pi está equipado con un receptor de sistema global de comunicaciones móviles (GSM) de $70 para que acepte comandos a través de mensajes de texto SMS.
Otra variante es insertar un dispositivo de memoria USB en el cajero automático y reiniciarlo de un sistema operativo en el dispositivo de memoria. Cuando el cajero automático se haya iniciado, puede instalar el malware directamente en el sistema operativo actualmente inactivo del cajero automático. Al reiniciar el cajero automático utilizando su sistema operativo normal, puede controlar el malware insertando una tarjeta creada especialmente o mediante una combinación de teclas secretas en el teclado del cajero automático.
Los cajeros automáticos contienen software de acceso remoto para que puedan ser compatibles y mantenidos de forma remota. Si puede comprometer este software, puede controlar su colección de cajeros automáticos zombis de forma remota. Todo lo que tienen que hacer sus mulas es estar en el lugar correcto en el momento adecuado para recoger el dinero.
No conocemos La Escala Real
Existe la creencia de que muchos robos de cajeros automáticos no se denuncian, por lo que no conocemos realmente la escala real del problema. Sin embargo, sabemos dos cosas. La primera es que el jackpot que conocemos ya es masivo. La segunda es que va a seguir creciendo.
Hasta que los fabricantes de cajeros automáticos se tomen en serio la seguridad de los cajeros automáticos, los ciberdelincuentes verán los cajeros automáticos como cajas llenas de dinero a la espera de ser vaciadas.
Dave McKay usó computadoras por primera vez en la industria cuando la cinta de papel perforado estaba de moda y ha estado programando desde entonces. Su uso de computadoras es anterior al nacimiento del PC y a la publicación de Unix. Ha programado desde ensamblado 6502 hasta Lisp, y desde Forth hasta C#.Ahora es periodista tecnológico y consultor independiente de Protección de Datos y Cumplimiento Normativo.Lea la Biografía completa »