Image Credits: Victor J. Blue/Bloomberg / Getty Images

Nel 2010, il defunto Barnaby Jack, un ricercatore di sicurezza di fama mondiale, ha violato un bancomat in diretta sul palco della conferenza Black Hat ingannando il distributore di denaro a sputare fuori un flusso di banconote da un dollaro. La tecnica è stata opportunamente chiamata “jackpotting”.

Decennio dopo la dimostrazione di Jack, i ricercatori di sicurezza presentano due nuove vulnerabilità nei bancomat Nautilus, anche se virtualmente, grazie alla pandemia di coronavirus.

I ricercatori di sicurezza Brenda So e Trey Keown dell’azienda di sicurezza Red Balloon, con sede a New York, dicono che la loro coppia di vulnerabilità ha permesso loro di ingannare un popolare bancomat standalone, che si trova comunemente nei negozi piuttosto che nelle banche, per erogare denaro al loro comando.

Un hacker dovrebbe essere sulla stessa rete del bancomat, rendendo più difficile lanciare un attacco di successo. Ma le loro scoperte evidenziano che i bancomat hanno spesso vulnerabilità che giacciono dormienti per anni – in alcuni casi da quando sono stati costruiti.

Barnaby Jack, il ricercatore di sicurezza defunto accreditato con i primi attacchi ATM “jackpotting”. Ora, 10 anni dopo, due ricercatori di sicurezza hanno trovato due nuovi attacchi ATM “cash-spitting”. Credit: YouTube

So e Keown hanno detto che le loro nuove vulnerabilità prendono di mira il software sottostante del Nautilus ATM, una versione decennale di Windows che non è più supportata da Microsoft. Per cominciare, la coppia ha comprato un bancomat da esaminare. Ma con poca documentazione, il duo ha dovuto reingegnerizzare il software all’interno per capire come funzionava.

La prima vulnerabilità è stata trovata in uno strato di software noto come XFS – o Estensioni per i servizi finanziari – che l’ATM utilizza per parlare con i suoi vari componenti hardware, come il lettore di carte e l’unità di erogazione di denaro. Il bug non era in XFS in sé, ma piuttosto nel modo in cui il produttore di ATM ha implementato lo strato software nei suoi ATM. I ricercatori hanno scoperto che l’invio di una richiesta malevola appositamente elaborata attraverso la rete potrebbe effettivamente innescare l’erogatore di denaro del bancomat e scaricare il contante all’interno, ha detto Keown a TechCrunch.

La seconda vulnerabilità è stata trovata nel software di gestione remota del bancomat, uno strumento incorporato che consente ai proprietari di gestire la loro flotta di bancomat aggiornando il software e controllando quanto denaro è rimasto. Innescare il bug garantirebbe ad un hacker l’accesso alle impostazioni di un ATM vulnerabile.

So ha detto a TechCrunch che era possibile cambiare il processore di pagamento dell’ATM con un server maligno, controllato da un hacker, per trafugare i dati bancari. “Puntando un bancomat a un server maligno, possiamo estrarre i numeri delle carte di credito”, ha detto.

Bloomberg ha riportato per la prima volta le vulnerabilità l’anno scorso quando i ricercatori hanno riferito privatamente le loro scoperte a Nautilus. Circa 80.000 bancomat Nautilus negli Stati Uniti erano vulnerabili prima della correzione, ha riferito Bloomberg. Un portavoce di Nautilus non avrebbe confermato la cifra.

Gli attacchi di jackpotting di successo sono rari ma non inauditi. Negli ultimi anni, gli hacker hanno utilizzato una serie di tecniche. Nel 2017, è stato scoperto un gruppo attivo di jackpotting che operava in tutta Europa e che ha fruttato milioni di euro in contanti.

Più recentemente, gli hacker hanno rubato software proprietario dai produttori di bancomat per costruire i propri strumenti di jackpotting.

Invia suggerimenti in modo sicuro su Signal e WhatsApp a +1 646-755-8849 o invia un’email criptata a: [email protected]