O nouă metodă de furt din bancomate a scos din ATM-uri în întreaga lume milioane de dolari
O nouă metodă de furturi din bancomate (fără card) face ravagii în multe țări din Europa, Asia, în Rusia și SUA. Firmele de securitate cibernetică, Interpol și FBI sunt în alertă. Skimmingul nu mai este la modă, iar hackerii au creat deja o metodă mult mai eficientă care, deocamdată, nu are o soluție de rezolvare.
Infractorii cibernetici au creat un nou program de tip backdoor (metodă de trecere de procesul de autentificare), numit „Tyupkin”. Acesta necesită acces fizic la sistemul ATM care rulează sisteme de operare Windows pe 32 de biți și bootarea de pe un CD pentru a instala malware-ul. Conform autorităților judiciare, amenințarea a continuat să evolueze în ultimele luni prin infectarea ATM-uri din Asia, Europa, și America Latină.
Până la această oră nu au fost obținute informații referitoare la grupările criminale din spatele acestor atacuri, dar „milioane de dolari” au dispărut deja din ATM-uri din întreaga lume în care a fost introdus malware-ul sofisticat. Firma de soluții de securitate Kaspersky și Interpol lucrează împreună în încercarea de a stopa acest fenomen.
De-a lungul ultimilor ani, am observat o ascensiune majoră în atacurile de la ATM-uri, folosindu-se dispozitive de skimming și de malware. Acum vedem evoluția naturală a acestei amenințări cu infractorii cibernetici care se merg în sus de-a lungul lanțului țintind direct instituțiile financiare. Acest lucru se face prin infectarea ATM-urilor lor sau prin lansarea unei Amenințări Persistente Avansate (APT) – stil de atacuri împotriva băncilor. Malware Tyupkin este un tip de atac care profită de slăbiciunile în infrastructura ATM
Vicente Diaz
cercetător la Kaspersky Lab
Cum funcționează atacul „Tyupkin”
Pentru a instala backdoor-ul malițios, cărăușii (money mules – persoane care transferă bani obținuți ilegal prin curieri sau prin sisteme electronice) trebuie să introducă fizic un CD bootabil (care permite inițializarea sistemului) care instalează malware-ul.
Odată ce aparatul este repornit, ATM-ul este sub controlul grupării criminale. Malware-ul sofisticat rulează apoi, în fundal, pe o buclă în așteptarea comenzii date de atacator. Cu toate acestea, malware-ul acceptă numai comenzi doar în anumite momente – în acest caz în nopțile de duminică și luni – ceea ce-l face mai greu de detectat. Mai mult decât atât, este generată o cheie unică, o combinație bazată pe numere aleatoare, astfel încât posibilitatea ca un utilizator public să acceseze accidental un cod este evitată. Acest cod cheie trebuie să fie introdus înainte ca meniul principal să fie afișat.
Operatorul malware primește instrucțiuni prin telefon de la un alt membru al bandei, care cunoaște algoritmul și este capabil de a genera o cheie de sesiune în funcție de numărul afișat
Kaspersky
Când această cheie de sesiune este introdusă corect, ATM-uri afișează detalii despre cât de mulți bani sunt disponibili în fiecare casetă de numerar, invitând operatorul să aleagă ce casetă este de furat și numărul de bancnote disponibile – ATM distribuie un maxim de 40 de bancnote o dată dintr-o casetă aleasă.
Țările afectate de TYUPKIN
În timpul investigației, autoritățile au descoperit mai mult de 50 de ATM-uri de la instituțiile bancare din toată Europa de Est, iar cele mai multe dintre atacurile „Tyupkin” au avut loc în Rusia. Malware-ul pare să se fi răspândit în Statele Unite, India, China, Israel, Franța și Malaezia.
Furtul de acest tip a fost chiar surprins în imagini video, pentru că multe dintre ATM-uri au camere.
Kaspersky a informat toate autoritățile specializate, dar și băncile, cu privire la pașii ce trebuie urmați pentru prevenirea acestui tip de atac cibernetic.
De menționat este că, în general, ATM-urile folosesc sisteme de operare Windows XP sau 98, care nu au mai fost updatate și care sunt supuse foarte ușor riscului de infectare cu viruși.