Hackers zeggen dat ‘jackpotting’-fouten populaire geldautomaten ertoe hebben aangezet geld uit te spugen

@zackwhittaker/9:00 am PDT – August 6, 2020

Image Credits: Victor J. Blue/Bloomberg / Getty Images

In 2010 hackte wijlen Barnaby Jack, een wereldberoemde beveiligingsonderzoeker, live op het podium van de Black Hat-conferentie een geldautomaat door de geldautomaat een stroom dollarbiljetten uit te laten spugen. De techniek werd toepasselijk “jackpotting” genoemd.”

Tien jaar na Jack’s blockbuster demo, presenteren beveiligingsonderzoekers twee nieuwe kwetsbaarheden in Nautilus-automaten, zij het virtueel, dankzij de coronavirus pandemie.

Beveiligingsonderzoekers Brenda So en Trey Keown van het New Yorkse beveiligingsbedrijf Red Balloon zeggen dat hun paar kwetsbaarheden hen in staat stelden een populaire standalone retail-automaat, die vaak in winkels in plaats van bij banken wordt gevonden, te verleiden tot het uitgeven van contant geld op hun commando.

Een hacker zou zich op hetzelfde netwerk als de geldautomaat moeten bevinden, waardoor het moeilijker is om een succesvolle jackpotaanval uit te voeren. Hun bevindingen laten echter zien dat geldautomaten vaak kwetsbaarheden hebben die jarenlang sluimeren – in sommige gevallen al sinds ze voor het eerst werden gebouwd.

Barnaby Jack, de overleden beveiligingsonderzoeker die wordt gecrediteerd voor de eerste “jackpotting”-aanvallen op geldautomaten. Nu, 10 jaar later, hebben twee beveiligingsonderzoekers twee nieuwe pinautomaten gevonden waarmee geld kan worden gepind. Credit: YouTube

So en Keown zeiden dat hun nieuwe kwetsbaarheden gericht zijn op de onderliggende software van de Nautilus-automaat, een tien jaar oude versie van Windows die niet langer wordt ondersteund door Microsoft. Om te beginnen kocht het duo een geldautomaat om te onderzoeken. Maar met weinig documentatie, moest het duo de software binnenin reverse-engineeren om te begrijpen hoe het werkte.

De eerste kwetsbaarheid werd gevonden in een softwarelaag die bekend staat als XFS – of Extensions for Financial Services – die de geldautomaat gebruikt om te praten met de verschillende hardwarecomponenten, zoals de kaartlezer en de gelduitgifte-eenheid. De fout zat niet in XFS zelf, maar in de manier waarop de fabrikant van de geldautomaat de softwarelaag in zijn geldautomaten had geïmplementeerd. De onderzoekers ontdekten dat het verzenden van een speciaal bewerkt kwaadaardig verzoek via het netwerk effectief de geldautomaat van de geldautomaat kon activeren en het geld erin kon dumpen, vertelde Keown aan TechCrunch.

De tweede kwetsbaarheid werd gevonden in de remote management software van de geldautomaat, een ingebouwd hulpmiddel waarmee eigenaren hun vloot van geldautomaten kunnen beheren door de software bij te werken en te controleren hoeveel geld er nog over is. Het triggeren van de bug zou een hacker toegang geven tot de instellingen van een kwetsbare geldautomaat.

So vertelde TechCrunch dat het mogelijk was om de betalingsprocessor van de geldautomaat te verwisselen met een kwaadaardige, door hackers gecontroleerde server om bankgegevens over te hevelen. “Door een geldautomaat naar een kwaadaardige server te wijzen, kunnen we creditcardnummers extraheren,” zei ze.

Bloomberg meldde de kwetsbaarheden vorig jaar voor het eerst toen de onderzoekers hun bevindingen privé aan Nautilus meldden. Ongeveer 80.000 Nautilus-automaten in de VS waren kwetsbaar voorafgaand aan de fix, meldde Bloomberg. Een Nautilus-woordvoerder wilde het cijfer niet bevestigen.

Succesvolle jackpotting-aanvallen zijn zeldzaam, maar niet ongehoord. In de afgelopen jaren hebben hackers een aantal technieken gebruikt. In 2017 werd een actieve jackpotting-groep ontdekt die in heel Europa actief was en miljoenen euro’s aan contanten binnenhaalde.

Meer recent hebben hackers eigen software van fabrikanten van geldautomaten gestolen om hun eigen jackpotting-tools te bouwen.

Stuur tips veilig via Signal en WhatsApp naar +1 646-755-8849 of stuur een versleutelde e-mail naar: [email protected]

{{title}}

{date}{{author}}

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.