Obrázek Credits: Blue/Bloomberg / Getty Images

V roce 2010 se zesnulý Barnaby Jack, světoznámý bezpečnostní výzkumník, na konferenci Black Hat v přímém přenosu na pódiu naboural do bankomatu tak, že podvedl automat na peníze a vyplivl proud dolarových bankovek. Tato technika byla příhodně nazvána “jackpotting”.

Deset let po Jackově senzační ukázce představují bezpečnostní výzkumníci dvě nové zranitelnosti bankomatů Nautilus, i když virtuálně, díky pandemii koronavirů.

Bezpečnostní výzkumníci Brenda So a Trey Keown z newyorské bezpečnostní firmy Red Balloon tvrdí, že jejich dvojice zranitelností jim umožnila oklamat populární samostatný maloobchodní bankomat, který se běžně nachází spíše v obchodech než v bankách, aby na jejich příkaz vydal hotovost.

Hacker by musel být ve stejné síti jako bankomat, což by ztížilo úspěšný útok na jackpot. Jejich zjištění však poukazují na to, že bankomaty mají často zranitelnosti, které leží ladem po celá léta – v některých případech od doby, kdy byly vyrobeny.

Barnaby Jack, zesnulý bezpečnostní výzkumník, kterému se připisují první “jackpotovací” útoky na bankomaty. Nyní, o 10 let později, dva bezpečnostní výzkumníci objevili dva nové útoky na bankomaty, při nichž dochází k vyplácení peněz. Kredit: YouTube

So a Keown uvedli, že jejich nové zranitelnosti se zaměřují na základní software bankomatu Nautilus, deset let starou verzi systému Windows, která již není společností Microsoft podporována. Pro začátek si dvojice koupila bankomat, který chtěla prozkoumat. Protože však byla k dispozici jen malá dokumentace, musela dvojice provést reverzní inženýrství vnitřního softwaru, aby pochopila, jak funguje.

První zranitelnost byla nalezena v softwarové vrstvě známé jako XFS – neboli Extensions for Financial Services – kterou bankomat používá ke komunikaci s různými hardwarovými komponenty, jako je čtečka karet a jednotka pro výdej hotovosti. Chyba nebyla v samotném systému XFS, ale ve způsobu, jakým výrobce bankomatů tuto softwarovou vrstvu do svých bankomatů implementoval. Výzkumníci zjistili, že odeslání speciálně vytvořeného škodlivého požadavku po síti může účinně spustit výdejní jednotku bankomatu a vysypat hotovost uvnitř, řekl Keown serveru TechCrunch.

Druhá zranitelnost byla nalezena v softwaru pro vzdálenou správu bankomatu, což je vestavěný nástroj, který umožňuje majitelům spravovat jejich flotilu bankomatů aktualizací softwaru a kontrolou, kolik hotovosti zbývá. Spuštění chyby by hackerovi umožnilo přístup k nastavení zranitelného bankomatu.

Také řekl TechCrunch, že bylo možné zaměnit platební procesor bankomatu za škodlivý, hackery ovládaný server a odčerpat bankovní data. “Nasměrováním bankomatu na škodlivý server můžeme získat čísla kreditních karet,” řekla.

Bloomberg o zranitelnostech poprvé informoval loni, kdy výzkumníci soukromě oznámili svá zjištění společnosti Nautilus. Před opravou bylo zranitelných asi 80 000 bankomatů Nautilus v USA, uvedla agentura Bloomberg. Mluvčí společnosti Nautilus toto číslo nechtěl potvrdit.

Úspěšné útoky na jackpot jsou sice vzácné, ale nikoli neslýchané. V posledních letech hackeři používali řadu technik. V roce 2017 byla odhalena aktivní skupina provádějící jackpoty po celé Evropě, která získala miliony eur v hotovosti.

Nejnověji hackeři ukradli proprietární software od výrobců bankomatů a vytvořili si vlastní nástroje pro jackpoty.

Zasílejte tipy bezpečně přes Signal a WhatsApp na číslo +1 646-755-8849 nebo pošlete šifrovaný e-mail na adresu: [email protected]

.