Image Credits: Victor J. Blue/Bloomberg / Getty Images

Em 2010, o falecido Barnaby Jack, um pesquisador de segurança de renome mundial, invadiu um caixa eletrônico ao vivo no palco da conferência Black Hat, enganando o caixa eletrônico para cuspir um fluxo de notas de dólar. A técnica foi apropriadamente chamada de “jackpotting”

Uma década depois da demonstração do blockbuster de Jack, os pesquisadores de segurança estão apresentando duas novas vulnerabilidades nos ATMs Nautilus, embora virtualmente, graças à pandemia do coronavírus.

Os pesquisadores de segurança Brenda So e Trey Keown da empresa de segurança Red Balloon, sediada em Nova York, dizem que seu par de vulnerabilidades lhes permitiu enganar um caixa eletrônico de varejo independente popular, comumente encontrado em lojas e não em bancos, para distribuir dinheiro ao seu comando.

Um hacker precisaria estar na mesma rede que o caixa eletrônico, tornando mais difícil lançar um ataque de jackpot bem sucedido. Mas suas descobertas destacam que os ATMs frequentemente têm vulnerabilidades que ficam adormecidas por anos – em alguns casos desde que foram construídos pela primeira vez.

Barnaby Jack, o falecido pesquisador de segurança creditado com os primeiros ataques de “jackpot” aos ATMs. Agora, 10 anos depois, dois pesquisadores de segurança encontraram dois novos ataques de “jackpot” em caixas eletrônicos. Crédito: YouTube

So e Keown disseram que suas novas vulnerabilidades visam o software subjacente do Nautilus ATM, uma versão decade-old do Windows que não é mais suportada pela Microsoft. Para começar, o par comprou um ATM para examinar. Mas com pouca documentação, a dupla teve que fazer engenharia reversa no software para entender como funcionava.

A primeira vulnerabilidade foi encontrada em uma camada de software conhecida como XFS – ou Extensões para Serviços Financeiros – que a ATM usa para falar com seus vários componentes de hardware, como o leitor de cartões e a unidade de distribuição de dinheiro. O bug não estava no XFS em si, mas na forma como o fabricante do ATM implementou a camada de software em seus ATMs. Os pesquisadores descobriram que o envio de um pedido malicioso especialmente feito através da rede poderia efetivamente acionar o caixa eletrônico do ATM e despejar o dinheiro dentro dele, Keown disse ao TechCrunch.

A segunda vulnerabilidade foi encontrada no software de gerenciamento remoto do ATM, uma ferramenta embutida que permite aos proprietários gerenciar sua frota de ATMs, atualizando o software e verificando quanto dinheiro sobrou. Acionando o bug, um hacker teria acesso às configurações vulneráveis de um ATM.

Então disse ao TechCrunch que era possível trocar o processador de pagamento do ATM com um servidor malicioso, controlado por hackers, para desviar os dados bancários. “Ao apontar um ATM para um servidor malicioso, podemos extrair números de cartão de crédito”, disse ela.

Bloomberg relatou pela primeira vez as vulnerabilidades no ano passado, quando os pesquisadores informaram privadamente suas descobertas ao Nautilus. Cerca de 80.000 caixas eletrônicos do Nautilus nos EUA estavam vulneráveis antes da correção, relatou Bloomberg. Um porta-voz do Nautilus não confirmou o número.

Ataques de jackpot bem sucedidos são raros, mas não inéditos. Nos últimos anos, os hackers têm usado uma série de técnicas. Em 2017, foi descoberto um grupo de jackpot activo que operava em toda a Europa, com milhões de euros em dinheiro.

Mais recentemente, os hackers roubaram software proprietário de fabricantes de ATMs para construírem as suas próprias ferramentas de jackpot.

Envie dicas com segurança sobre o Signal e WhatsApp para +1 646-755-8849 ou envie um e-mail encriptado para: [email protected]