Kuvan krediitit: Victor J. Blue/Bloomberg / Getty Images

Vuonna 2010 edesmennyt Barnaby Jack, maailmankuulu tietoturvatutkija, hakkeroi pankkiautomaatin suorassa lähetyksessä Black Hat -konferenssin lavalla huijaamalla käteisautomaatin sylkemään ulos dollarin seteleitä. Tekniikkaa kutsuttiin sopivasti nimellä “jackpotting.”

Kymmenen vuotta Jackin huikean demon jälkeen tietoturvatutkijat esittelevät kaksi uutta haavoittuvuutta Nautilus-pankkiautomaateissa, vaikkakin virtuaalisesti, koronaviruspandemian ansiosta.

Turvatutkijat Brenda So ja Trey Keown newyorkilaisesta tietoturvayhtiöstä Red Balloon kertovat, että he pystyivät parin haavoittuvuuden avulla huijaamaan suosittua itsenäistä vähittäiskaupan pankkiautomaattia, jota tavallisesti löytyy kaupoista eikä pankeista, jakamaan käteistä käskystään.

Hakkerin olisi oltava samassa verkossa kuin pankkiautomaatti, mikä vaikeuttaa onnistuneen jättipottihyökkäyksen toteuttamista. Heidän havaintonsa korostavat kuitenkin, että pankkiautomaateissa on usein haavoittuvuuksia, jotka piilevät uinuvina vuosikausia – joissakin tapauksissa jo niiden rakentamisesta lähtien.

Barnaby Jack, edesmennyt tietoturvatutkija, jonka katsotaan tehneen ensimmäiset pankkiautomaattien “jackpotting”-hyökkäykset. Nyt, 10 vuotta myöhemmin, kaksi tietoturvatutkijaa on löytänyt kaksi uutta pankkiautomaattien käteisnostohyökkäystä. Credit: YouTube

So ja Keown sanoivat, että heidän uudet haavoittuvuutensa kohdistuvat Nautilus-pankkiautomaatin taustalla olevaan ohjelmistoon, joka on vuosikymmenen vanha Windows-versio, jota Microsoft ei enää tue. Aluksi kaksikko osti pankkiautomaatin tutkittavaksi. Koska dokumentaatiota oli kuitenkin vain vähän, kaksikon oli tehtävä käänteismallinnus sisäisestä ohjelmistosta ymmärtääkseen, miten se toimii.

Ensimmäinen haavoittuvuus löytyi ohjelmistokerroksesta, joka tunnetaan nimellä XFS (Extensions for Financial Services) ja jota pankkiautomaatti käyttää keskustellakseen eri laitteistokomponenttiensa, kuten kortinlukijan ja käteisrahan jakoyksikön, kanssa. Virhe ei ollut itse XFS:ssä, vaan pikemminkin siinä, miten pankkiautomaatin valmistaja toteutti ohjelmistokerroksen pankkiautomaatteihinsa. Tutkijat havaitsivat, että lähettämällä erityisesti muotoiltu haitallista pyyntöä verkon kautta voitiin tehokkaasti laukaista pankkiautomaatin käteisautomaatti ja tyhjentää sen sisältämä käteinen, Keown kertoi TechCrunchille.

Toinen haavoittuvuus löytyi pankkiautomaatin etähallintaohjelmistosta, joka on sisäänrakennettu työkalu, jonka avulla omistajat voivat hallinnoida pankkiautomaattinsa kalustoa päivittämällä ohjelmistoja ja tarkistamalla, kuinka paljon käteistä on jäljellä. Virheen laukeaminen antaisi hakkerille pääsyn haavoittuvan pankkiautomaatin asetuksiin.

So kertoi TechCrunchille, että pankkiautomaatin maksuprosessori oli mahdollista vaihtaa pahantahtoiseen, hakkerin hallitsemaan palvelimeen pankkitietojen sieppaamiseksi. “Kohdistamalla pankkiautomaatin haitalliselle palvelimelle voimme poimia luottokorttinumerot”, hän sanoi.

Bloomberg kertoi haavoittuvuuksista ensimmäisen kerran viime vuonna, kun tutkijat raportoivat löydöksistään yksityisesti Nautilukselle. Noin 80 000 Nautilus-automaattia Yhdysvalloissa oli haavoittuvainen ennen korjausta, Bloomberg kertoi. Nautiluksen tiedottaja ei halunnut vahvistaa lukua.

Eronnistuneet jättipottihyökkäykset ovat harvinaisia, mutta eivät tuntemattomia. Viime vuosina hakkerit ovat käyttäneet useita tekniikoita. Vuonna 2017 löydettiin ympäri Eurooppaa toimiva aktiivinen jackpottiryhmä, joka nettoaa miljoonia euroja käteistä.

Viime aikoina hakkerit ovat varastaneet pankkiautomaattien valmistajien omia ohjelmistoja rakentaakseen omia jackpottityökalujaan.

Lähetä vihjeet turvallisesti Signal- ja WhatsApp-palvelun kautta numeroon +1 646-755-8849 tai lähetä salattu sähköposti osoitteeseen: [email protected]