Η παραβίαση ATM δεν είναι κάτι καινούργιο. Όπως κάθε σύστημα που σχεδιάζεται από άνθρωπο, είναι λογικό κι επόμενο να παρουσιάσει ένα ή και περισσότερα ελαττώματα, ή απλώς, με την πάροδο του χρόνου, να μην μπορεί να συγκριθεί με ταχύτερες και καλύτερες τεχνολογίες. Σε αντίθεση με τα περισσότερα hardware, τα ΑΤΜ φαίνεται να καταλαμβάνουν μια ξεχωριστή θέση στο μυαλό των χάκερ που έχουν ως στόχο να βγάλουν όσο το δυνατόν περισσότερα χρήματα «εύκολα και γρήγορα».
Στο παρελθόν, για να παραβιάσει κάποιος ένα ATM, έπρεπε να αποκτήσει φυσική πρόσβαση σε μια θύρα USB – μια πράξη υπερβολικά εμφανής στο φως της ημέρας, καθώς συνήθως περιλαμβάνει την καταστροφή κάποιου μέρους του μηχανήματος. Ακόμα και οι network-based επιθέσεις που εκτελούνται πιο σπάνια, ενώ γίνονται απομακρυσμένα, μοιάζουν ιδιαίτερα επικίνδυνες. Η απευθείας εισβολή σε μια τράπεζα και η εύρεση, στη συνέχεια, τρόπου παραβίασης ενός ΑΤΜ, θα απαιτούσε, εξάλλου, μια πιο εκτεταμένη δεξιότητα. Άλλωστε, δεν πρέπει να ξεχνάμε το πόσο δύσκολο είναι να μη γίνει κάποιος αντιληπτός όταν δρα μέσα σε ένα εξαιρετικά προστατευόμενο περιβάλλον.
Διαβάστε επίσης: Ιταλία: Χάκερς έκλεψαν 800.000€ από 35 ATM με Black Box επίθεση!
Ωστόσο, όπως αναφέρει το Wired, ένας, τουλάχιστον, ερευνητής βρήκε τρόπο να αποφύγει το μεγαλύτερο μέρος αυτού του προβλήματος, αντλώντας με «μαγικό τρόπο» μετρητά από ΑΤΜ, μόνο με μια απλή κίνηση του καρπού του. Το περιοδικό ανέφερε στις 24 Ιουνίου ότι ο Josep Rodriguez, ερευνητής και σύμβουλος της εταιρείας ασφαλείας “IOActive”, έχει δημιουργήσει μια συλλογή με σφάλματα που επηρεάζουν τα συστήματα NFC (near-field communication) όπου βασίζονται πολλά σύγχρονα μηχανήματα για την ασύρματη μετάδοση δεδομένων, συμπεριλαμβανομένων των πληροφοριών χρεωστικών και πιστωτικών καρτών.
Δείτε ακόμη: Hackers στοχεύουν μεγάλους οργανισμούς άμυνας παραβιάζοντας μικρομεσαίες εταιρείες
Ο Rodriguez, ο οποίος έχει προσληφθεί για να δοκιμάσει νόμιμα μηχανήματα ώστε να βελτιώσει την ασφάλειά τους, μπόρεσε να χρησιμοποιήσει τους αναγνώστες NFC για να προκαλέσει αυτό που οι προγραμματιστές αποκαλούν “buffer overflow” ή περίσσεια δεδομένων, που καταστρέφει τη μνήμη ενός μηχανήματος. Αυτή η παλιά (δεκαετιών) τεχνική επίθεσης επέτρεψε στον Rodriguez να εκμεταλλευτεί τα ΑΤΜ και άλλα point-of-sale μηχανήματα – σκεφτείτε τα μηχανήματα αγοράς καταστημάτων λιανικής – με διάφορους τρόπους: καταγραφή πληροφοριών καρτών πληρωμής, έγχυση malware και ακόμη και σε μια περίπτωση “jackpotting” ενός ATM.
Συγκεκριμένα, ο Rodriguez δημιούργησε ένα Android app που επιτρέπει στο smartphone του να «μιμείται» αυτές τις ραδιοεπικοινωνίες με πιστωτική κάρτα και να εκμεταλλεύεται ελαττώματα στο firmware των συστημάτων NFC. Με ένα κούνημα του τηλεφώνου του, μπορεί να εκμεταλλευτεί μια ποικιλία σφαλμάτων, για να καταστρέψει point-of-sale συσκευές, να τις χακάρει προκειμένου να συλλέξει και να μεταδώσει δεδομένα πιστωτικών καρτών, να τροποιήσει «κρυφά» συναλλαγές, ακόμη και να κλειδώσει τις συσκευές καθώς εμφανίζει ένα μήνυμα ransomware.
Πρόταση: Hackers συνδυάζουν ransomware και DDoS επιθέσεις για να στοχεύσουν θύματα
Σύμφωνα με το Wired, ο Rodriguez κρατούσε τα ευρήματά του κρυφά για ένα χρόνο, ενώ δεσμεύεται νομικά να μην αποκαλύψει τις ταυτότητες των εταιρειών για τις οποίες δούλευε. Παρόλα αυτά, επειδή προκαλεί ανησυχία το γεγονός ότι μια παλιά τεχνική εξακολουθεί να επηρεάζει έναν μεγάλο αριθμό σύγχρονων μηχανημάτων, σκοπεύει να αποκαλύψει περισσότερες τεχνικές λεπτομέρειες τις επόμενες εβδομάδες, σε μια προσπάθεια να επιστήσει την προσοχή στην ασφάλεια αυτών των συσκευών.
