Os bandidos adquiriram o software proprietário da Diebold para caixas eletrônicos de "jackpot"

57

O Diebold Nixdorf, que teve vendas de US $ 3,3 bilhões em serviços e vendas em caixas eletrônicos no ano passado, está alertando lojas, bancos e outros clientes sobre uma nova forma de "jackpot" baseada em hardware, o termo da indústria para ataques que os ladrões usam para esvaziar caixas eletrônicos rapidamente .

A nova variação usa um dispositivo que executa partes da pilha de software proprietária da empresa. Os atacantes, em seguida, conectam o dispositivo aos internos do ATM e emitem comandos. Ataques bem-sucedidos podem resultar em um fluxo de dinheiro, às vezes distribuído em apenas 40 contas a cada 23 segundos. Os dispositivos são conectados obtendo acesso a uma chave que desbloqueia o chassi do ATM ou fazendo furos ou quebrando as travas físicas para obter acesso aos componentes internos da máquina.

Em ataques anteriores ao jackpot, os dispositivos conectados, conhecidos no setor como caixas pretas, geralmente invocavam interfaces de programação contidas no sistema operacional ATM para canalizar comandos que finalmente atingiam o componente de hardware que distribui dinheiro. Mais recentemente, Diebold Nixdorf observou uma série de ataques de caixa preta que incorporaram partes do software proprietário da empresa.

"Alguns dos ataques bem-sucedidos mostram um novo Modus Operandi adaptado sobre como o ataque é realizado", alertou Diebold Nixdorf em um alerta de segurança ativo que foi emitido na semana passada e fornecido à Ars por um representante da empresa. "Embora o fraudador ainda esteja conectando um dispositivo externo, neste estágio de nossas investigações, parece que esse dispositivo também contém partes da pilha de software do caixa eletrônico atacado".

O comunicado dizia em outro lugar:

Em geral, o jackpot refere-se a uma categoria de ataques com o objetivo de distribuir dinheiro ilegitimamente de um caixa eletrônico. A variante da caixa preta do jackpotting não utiliza a pilha de software do caixa eletrônico para distribuir dinheiro do terminal. Em vez disso, o fraudador conecta seu próprio dispositivo, a “caixa preta”, ao distribuidor e direciona a comunicação diretamente ao dispositivo de manuseio de dinheiro.

Nos incidentes recentes, os atacantes estão se concentrando em sistemas externos e estão destruindo partes da fáscia para obter acesso físico ao compartimento da cabeça. Em seguida, o cabo USB entre o dispensador CMD-V4 e os eletrônicos especiais, ou o cabo entre os eletrônicos especiais e o PC ATM, foi desconectado. Este cabo está conectado à caixa preta do invasor para enviar comandos de distribuição ilegítimos.

Alguns incidentes indicam que a caixa preta contém partes individuais da pilha de software do ATM atacado. A investigação sobre como essas partes foram obtidas pelo fraudador está em andamento. Uma possibilidade pode ser através de um ataque offline contra um disco rígido não criptografado.

Imitando o computador ATM

O crescente número de ataques tem como alvo os terminais da linha ProCash da empresa, principalmente o modelo ProCash 2050xs USB. Os ataques em andamento estão ocorrendo em "certos países europeus", disse o comunicado.

Bruno Oliveira, especialista em segurança de caixas eletrônicos, disse ter ouvido falar da forma anterior de ataque à caixa preta. O dispositivo conectado manipula as APIs incluídas nas extensões do SO, como XFS ou CFS, que se comunicam com servidores remotos operados por instituições financeiras. Caixas-pretas, que imitam o PC interno de um caixa eletrônico, podem ser laptops ou hardware Raspberry ou Arduino, que são bastante fáceis de construir, disse Oliveira. As caixas pretas são uma das quatro técnicas de jackpot que Diebold Nixdorf descreve aqui.

Em alguns casos, os dispositivos conectados se conectam diretamente ao terminal e emitem comandos para que ele gaste dinheiro. A outra forma de ataque de caixa preta se conecta aos cabos de rede e registra as informações do titular do cartão, conforme são retransmitidas entre o caixa eletrônico e o centro de transações que processa a sessão. O dispositivo conectado altera os valores máximos autorizados de retirada ou disfarces como sistema host para permitir que o caixa eletrônico dispense grandes somas de dinheiro.

O folheto do jackpot associado acima descreve dois outros tipos de ataques. O primeiro troca o disco rígido legítimo por um criado pelos atacantes. O outro usa ataques de phishing contra funcionários do banco. Depois que os invasores obtêm acesso à rede de uma instituição financeira, eles emitem comandos que infectam os caixas eletrônicos com malware que pode ser usado para limpar as máquinas.

Boas e más notícias

A nova variação de ataque descrita por Diebold é uma boa e uma má notícia para os consumidores. Por um lado, não há indicação de que os ladrões estejam usando sua pilha de software adquirida recentemente para roubar dados do cartão. A má notícia é que os invasores parecem ter em mãos um software proprietário que torna os ataques mais eficazes. O aumento recente do jackpot bem-sucedido resulta em taxas mais altas, à medida que as instituições financeiras repassam os custos causados ​​pelas perdas. A Diebold emitiu uma variedade de defesas que os proprietários de caixas eletrônicos podem adotar para se proteger contra os ataques.

Poucos usuários de ATM podem fazer para impedir o jackpot. Ainda assim, é importante usar apenas caixas eletrônicos pertencentes a grandes bancos e evitar os de empresas que vendem produtos para mães e filhos. Também é uma boa ideia proteger o teclado ao inserir PINs e verificar extratos bancários todos os meses em busca de transações não autorizadas.

Fonte: Ars Technica