Hầu hết các máy ATM có thể bị tấn công trong vòng chưa đến 20 phút

Các chuyên gia đã kiểm tra các máy ATM từ NCR, Diebold Nixdorf, và GRGBanking, và đã nêu chi tiết những phát hiện của họ trong một báo cáo dài 22 trang được xuất bản trong tuần vừa qua.

Các cuộc tấn công mà họ đã thử nghiệm là các loại khai thác và thủ thuật điển hình được bọn tội phạm mạng sử dụng để kiếm tiền từ máy ATM an toàn hoặc sao chép chi tiết thẻ ngân hàng của người dùng (còn được gọi là lướt ván - skimming).

Các chuyên gia cho biết rằng 85% các máy ATM mà họ đã kiểm tra cho phép kẻ tấn công truy cập vào mạng. Nhóm nghiên cứu đã thực hiện điều này bằng cách rút hoặc khai thác cáp Ethernet, hoặc bằng cách giả mạo các kết nối không dây hoặc các thiết bị mà máy ATM thường kết nối tới.

Các nhà nghiên cứu cho biết 27% các máy ATM được kiểm tra dễ bị phơi nhiễm đối với trung tâm xử lý thông tin liên lạc giả mạo, trong khi 58% máy ATM thử nghiệm có lỗ hổng trong các thành phần hoặc dịch vụ mạng có thể khai thác để điều khiển ATM từ xa.

Hơn nữa, 23% máy ATM được thử nghiệm có thể bị tấn công và khai thác bằng cách nhắm mục tiêu các thiết bị mạng khác được kết nối với ATM, ví dụ như modem GSM hoặc bộ định tuyến.

Các nhà nghiên cứu cho biết trong báo cáo của họ: "Các hậu quả bao gồm vô hiệu hóa các cơ chế bảo mật và kiểm soát đầu ra của tiền giấy từ bộ phân phối".

Các chuyên gia tại Positive Technologies cho rằng, "cuộc tấn công mạng" điển hình mất dưới 15 phút để thực thi, dựa trên các thử nghiệm của họ.

Nhưng trong trường hợp tin tặc ATM đang tìm kiếm một cách làm nhanh hơn, các nhà nghiên cứu cũng phát hiện ra rằng các cuộc tấn công Black Box là nhanh nhất, thường mất dưới 10 phút để thực hiện.

Tấn công Black Box là khi một hacker mở hộc ATM hoặc khoan một lỗ trong đó để nối cáp nối máy tính của ATM với hộp tiền mặt của ATM (hoặc két an toàn). Những kẻ tấn công sau đó kết nối một công cụ được đặt làm riêng, được gọi là Hộp đen, lừa máy rút tiền ATM để phân phối tiền mặt theo yêu cầu.

Positive Technologies cho biết rằng 69% các máy ATM mà họ kiểm tra là dễ bị tấn công như vậy và trên 19% máy ATM, không có sự bảo vệ nào chống lại các cuộc tấn công của Black Box.

Một cách khác thông qua đó các nhà nghiên cứu tấn công các máy ATM được thử nghiệm là bằng cách cố gắng thoát khỏi chế độ kiosk - chế độ hệ điều hành mà giao diện ATM chạy trong đó.

Các nhà nghiên cứu nhận thấy rằng bằng cách cắm một thiết bị vào một trong các giao diện USB hoặc PS / 2 của ATM, họ có thể chuyển ATM từ chế độ kiosk và chạy các lệnh trên hệ điều hành cơ bản để rút tiền từ két an toàn ATM.

Các chuyên gia tại Positive Technologies cho biết cuộc tấn công này thường mất dưới 15 phút, và 76% các máy ATM được kiểm tra là dễ bị tổn thương.

Một cuộc tấn công khác, là cuộc tấn công kéo dài nhất nhưng lại mang lại kết quả cao nhất, là một trong những nhà nghiên cứu bỏ qua ổ đĩa cứng bên trong của máy ATM và khởi động từ một ổ cứng bên ngoài.

Các chuyên gia Positive Technologies cho biết 92% số máy ATM mà họ kiểm tra là dễ bị tổn thương. Điều này xảy ra vì các máy ATM không có mật khẩu BIOS, sử dụng một mật khẩu dễ đoán, hoặc không sử dụng mã hóa dữ liệu đĩa.

Các nhà nghiên cứu cho biết, trong quá trình kiểm tra, thường mất hơn 20 phút, họ đã thay đổi thứ tự khởi động trong BIOS, khởi động máy ATM từ ổ đĩa cứng của họ và thay đổi hệ điều hành bình thường của máy ATM trên ổ cứng hợp pháp, những thay đổi có thể cho phép rút tiền mặt hoặc hoạt động lướt sóng qua ATM.

Trong một thử nghiệm khác, các nhà nghiên cứu tại Positive Technologies cũng phát hiện ra rằng những kẻ tấn công có quyền truy cập vật lý vào máy ATM có thể khởi động lại thiết bị và buộc nó khởi động vào một chế độ an toàn / gỡ lỗi.

Điều này, đến lượt nó, sẽ cho phép kẻ tấn công truy cập vào các tiện ích gỡ lỗi khác nhau hoặc cổng COM thông qua đó họ có thể lây nhiễm cho máy ATM với phần mềm độc hại.

Cuộc tấn công diễn mất dưới 15 phút để thực hiện, và các nhà nghiên cứu phát hiện ra rằng 42% số máy ATM mà họ kiểm tra là dễ bị tổn thương.

Cuối cùng nhưng không kém phần quan trọng, những kết quả đáng buồn nhất liên quan đến các thử nghiệm về cách các máy ATM truyền dữ liệu thẻ trong nội bộ hoặc tới các ngân hàng.

Các nhà nghiên cứu tại Positive Technologies cho biết họ có thể chặn dữ liệu thẻ được gửi giữa các máy ATM thử nghiệm và trung tâm xử lý ngân hàng trong 58% trường hợp, nhưng họ đã thành công 100% trong việc chặn dữ liệu thẻ trong khi nó được xử lý nội bộ bên trong ATM, chẳng hạn như khi nó được truyền từ đầu đọc thẻ sang hệ điều hành của máy ATM.

Cuộc tấn công này cũng mất chưa tới 15 phút để hoàn thành. Xem xét rằng hầu hết các cuộc tấn công ATM trong thế giới thực xảy ra vào ban đêm và nhắm vào các máy ATM ở các địa điểm bị cô lập, 20 phút là quá đủ cho hầu hết các hoạt động tội phạm.

Các nhà nghiên cứu tại Positive Technologies cho biết: "Các cơ chế bảo mật chỉ là một mối phiền toái cho những kẻ tấn công: những người thử nghiệm của chúng tôi đã tìm cách vượt qua sự bảo vệ trong hầu hết mọi trường hợp. Vì các ngân hàng có xu hướng sử dụng cùng một cấu hình trên một số lượng lớn máy ATM, một cuộc tấn công thành công trên một máy ATM duy nhất có thể dễ dàng được nhân rộng ở quy mô lớn hơn".