Megérkezett az USA-ba is az ATM-kifosztás

Az akció koncentráltsága és szervezettsége arra utal, hogy egy felkészült csoport kampányszerűen rabolja ki az automatákat.

A neves biztonsági szakember, Brian Krebs számolt be róla a hétvégén, hogy most már az Egyesült Államokban is dokumentálták azt a világ más részein rég elterjedt bűncselekménytípust, amikor az elkövetők egy kártékony kóddal és/vagy egy speciális hardverrel arra „kényszerítik rá” a bankautomatákat, hogy készpénzt adjanak ki nekik.

Hirdetés

Mindezt onnan lehet tudni, hogy az egyik fontos bűnüldöző szervezet, a U.S. Secret Service a múlt héten figyelmeztetést adott ki a pénzintézetek számára, hogy az úgynevezett „jackpotting” támadás megjelent az országban, és terjedőben van.

A hírek hallatán Krebs megkereste az egyik nagy gyártót, az NCR-t, ők eleinte nem tudták megerősíteni az értesülést, de nem sokkal később már körlevélben értesítették a felhasználóikat a kockázatról, és felvázolták egy cselekvési terv elkészítésének szükségességét.

Arról nem adtak ki információkat, hogy milyen típusú malware-t használtak a támadók eddig, de Krebs belső forrásból úgy tudja, hogy egy, ismert, 2013-ban felfedezett, speciális jackpotting kártékony kódról van szó, melyet Ploutus.D néven emlegetnek. A névtelenséget kérő forrástól azt is megtudta a szakember, hogy a tolvajok a Diebold Nixdorf gyártó gépeit vették célba, mégpedig úgy, hogy felszerelésükkel aktiválják azt a funkciót, amikor az üzemeltető alkalmazottai tudnak pénzt kivenni az automatákból. A Secret Service azt feltételezi, hogy egy szervezett csoport kampányáról lehet szó, ugyanis tíz nap alatt koordináltan, mintát hordozóan fosztottak ki ATM-eket.

Mivel e módszer alkalmazásához fizikailag is hozzá kell férni az automatákhoz, a bűnözők a karbantartók ruháját viselik akció közben, hogy ne keltsenek gyanút. A beszámolók szerint „orvosi” módszerrel dolgoznak: egy endoszkóppal nyúlnak bele az ATM-be, megkeresik a belső portot, majd rácsatlakoztatják a náluk lévő laptopot. Miután átvették az ellenőrzést a rendszer fölött, a gép azt jelzi ki, hogy üzemen kívül van. Ezek után telepítik a malware-t, amelynek segítségével egy társuk távolról avatkozik be, hogy a gép adja ki a pénzt. Amennyiben a billentyűzeten nem állítják meg az akciót, az ATM szakaszosan ugyan, de nagyon gyorsan kiadja a benne tárolt összes készpénzt.

Habár a gyakorlott elkövetők percek alatt végeznek, a fizikai ottlét miatt megvan a lebukás veszélye, így a végrehajtás nagy szervezettséget igényel: más jut be az ATM-be, más vezérli a szoftvert távolról, és megint csak másik ember tűnik el nagyon gyorsan a készpénzzel.

A hatósági figyelmeztetésből úgy tűnik, hogy e konkrét támadásnál a még mindig Windows XP-t futtató gépek veszélyeztettek, ugyanis felhívják az üzemeltetők figyelmét, hogy ha még nem tették meg, frissítsenek Windows 7-re.

Előzmények