- Dave McKay
@ thegurkha
- Maj 24, 2021, 8:00 EDT
cyberbrottslingar driver ett krig mot banker och tömmer sina bankomater med pengar. Deras val av verktyg är skadlig kod, en nyckel från eBay och en Raspberry Pi. Så här gör de det.
slå jackpotten
det är mer än tio år sedan den sena hacker-och cybersäkerhetsforskaren Barnaby Michael Douglas Jack visade för en hänförd publik hur han kunde kompromissa med automatiska tellermaskiner. Jacks presentation ägde rum den 28 juli 2010 på Black Hat USA-konferensen i Las Vegas. Till skillnad från de berömda spelautomaterna i Las Vegas kunde de två bankomaterna på scenen med Jack göras för att dispensera pengar tills de var tomma—varje gång. Pålitligt och upprepade gånger.
det är passande att termen jackpotting myntades i vad som sannolikt är världens mest kända spelstad. Det används för att beskriva attacker som riktar sig mot bankomater och tömmer dem. Den andra vanliga ATM-attacken är skimming, där användarnas PIN-nummer och data från deras kort kopieras och används för att skapa klonade kort.
Jackpotting ökar, vilket resulterar i att tiotals miljoner dollar går förlorade varje år. Hundratusentals bankomater har drabbats i Asien och Europa, och attackerna ökar i USA. Vissa uppskattningar säger att bankomater på 100 olika banker i 30 länder har drabbats sedan 2016, vilket nettar de olika hotaktörerna i regionen på 1 miljard dollar.
dessa storskaliga operationer är sofistikerade. De kräver planering, övervakning, en liten arm av markstyrkor eller mulor, viss kunskap, viss skadlig kod och viss utrustning. Borta är de dagar då du kedjar ATM till din lastbil och kör iväg med den.
nu kan du använda en Raspberry Pi.
Modus Operandi
en bankomat är effektivt en dator i ett förstärkt hölje kopplat till lådor fulla av pengar. Tyvärr är operativsystemet inuti datorerna inte lika härdat som höljet datorn sitter i. De flesta körs på Windows 7, även om Windows XP också är vanligt. Dessa är föråldrade operativsystem som borde ha gått i pension för länge sedan. Deras sårbarheter är rikliga och väl förstådda av cyberbrottslingar.
Malware-paket kan köpas på den mörka webben för att utnyttja sårbarheterna i dessa operativsystem och interagera med ATM-programvaran. De har namn som atmspitter, cutlet maker, green dispenser, fast cash och pylon. Priserna varierar från runt $ 200 till $1000 dollar, beroende på märke och modell av bankomater du riktar. Några av malware-paketen innehåller komprometterad proprietär programvara som tillhör ATM-tillverkarna.
du spenderar också cirka $150 för de bitar av utrustning du behöver, inklusive din Raspberry Pi.
Steg 1: Var är målen?
bankomaterna i en stad kartläggs och studeras. Bra mål är de med hög användning, eftersom dessa är laddade med mest pengar. Idealiska mål är högt värde bankomater i områden med dålig eller ingen övervakning.
attacker är vanligtvis planerade för dagar som Black Friday eller Alla hjärtans dag när bankomater laddas med upp till 20 procent mer pengar än vanligt. Bankomater laddas också med extra pengar under veckorna fram till jul eftersom många kommer att ha fått sin årliga eller julbonus i sin lön.
steg 2: Vad är ATM-märken och modeller?
kunskap om ATM-hårdvaran låter dig köpa lämplig skadlig kod och lämplig nyckel för att öppna ATM-höljet. Vissa tillverkare sätter sitt namn på ATM någonstans, vilket gör identifieringen enklare. De stora namnen inom ATM-tillverkning är Diebold Nixdorf, Wincor Nixdorf, NCR, Triton och Hitachi-Omron.
fotografera ATM kan du få hjälp från mörka webbkontakter eller Google bildsökning för att bestämma märke och modell. När du är beväpnad med versionerna av bankomater som du kommer att kompromissa kan du söka på mörka webbmarknader—och till och med tydliga webbuttag som Ali Baba och eBay—för ATM-underhållsnycklar.
priserna för dessa börjar på $10 och stiger till cirka $50. Du använder nyckeln för att öppna ATM och komma åt USB-portarna.
steg 3: Installera skadlig kod
USB-portarna på bankomater är begränsade och accepterar endast en anslutning från ett tangentbord eller en mus. Detta för att tillåta tjänstemän att utföra underhåll på enheterna. Du har laddat skadlig programvara på din Raspberry Pi och fått ett batteri så att det kan köras som en bärbar enhet.
malware är skrivet på ett sätt som övertygar ATM att Raspberry Pi är ett tangentbord. Lagrade kommandon tumlar ut ur Raspberry Pi i ATM, och ATM följer plikttroget dem.
steg 4: Jackpot
det är möjligt att orsaka en bankomat att spotta ut sedlar med en hastighet av 40 räkningar i 20 eller så sekunder, eller ungefär 120 i en minut. Om de är $ 100 dollar räkningar som är $12.000 per minut.
Jackpot verkligen.
variationer på ett tema
storskalig jackpotting träffar många bankomater på en gång, vilket innebär att du måste ha många människor på gatorna som utför dessa attacker och ger dig pengarna. Dessa är de billiga mulorna i den nedre änden av det kriminella spektrumet. Med lite coachning och träning kan dessa lågnivåoperatörer göra den fysiska sidan av attacken, och skadlig programvara gör resten.
det är billigare att utrusta en mule med en Raspberry Pi än en bärbar dator, och en Raspberry Pi är lättare att dölja på din person. Ibland är Raspberry Pi utrustad med en $70 global System for mobile communications (GSM) mottagare så att den accepterar kommandon via SMS-meddelande.
en annan variant är att sätta in ett USB-minne i ATM och starta om det från ett operativsystem i minnet. När ATM har startat kan du installera skadlig programvara direkt i ATM: s nuvarande vilande operativsystem. När du startar om ATM med sitt vanliga operativsystem kan du styra skadlig programvara genom att sätta in ett speciellt skapat kort eller via en hemlig tangentkombination på ATM: s knappsats.
bankomater innehåller programvara för fjärråtkomst så att de kan stödjas och underhållas på distans. Om du kan kompromissa med den här programvaran kan du styra din samling zombie-bankomater på distans. Alla dina mulor behöver göra är att vara på rätt plats vid rätt tidpunkt för att hämta pengarna.
vi vet inte den sanna skalan
det finns en tro på att mycket ATM-stöld inte rapporteras, så vi vet inte riktigt den verkliga omfattningen av problemet. Vi vet dock två saker. Den första är att jackpotting vi vet om är redan massiv. Den andra är att den kommer att fortsätta växa.
tills ATM-tillverkarna tar ATM-säkerhet på allvar kommer cyberbrottslingar att se bankomater som lådor fulla av pengar som bara väntar på att tömmas.
Dave McKay använde först datorer i branschen när stansade pappersband var på modet och han har programmerat sedan dess. Hans användning av datorer föregår PC: s födelse och den offentliga utgåvan av Unix. Han har programmerat i allt från 6502 montering Lisp, och från tillbaka till C#.Han är nu en teknikjournalist och oberoende dataskydds-och Efterlevnadskonsult.Läs Hela Bio ”