Участник проходящей в Лас-Вегасе хакерской конференции Black Hat USA продемонстрировал возможность взлома некоторых типов банкоматов, заставив их выдать всю имеющуюся наличность.
Барнаби Джек (Barnaby Jack), возглавляющий отдел тестирования на безопасность компании IOActive, потратил на свои исследования около двух лет. В работе он использовал банкоматы, произведенные компаниями Tranax Technologies и Triton Systems, которые купил через интернет.
Джек нашел уязвимости в программном обеспечении устройств, позволившие получить контроль над ними.
Проблема затрагивает банкоматы, которые не имеют постоянного соединения с обслуживающей организацией. Хакер отметил, что Tranax и Triton закрыли выявленные уязвимости после того, как он указал на них год назад. Однако если владелец банкомата до сих пор не установил обновление, то устройство может быть взломано.
Доступ к банкомату Tranax Джек получил, подключившись с помощью модема и запустив написанные программы, эксплуатирующие уязвимости в ПО устройства. Банкомат Triton был лучше защищен от подобной атаки, но доступ к его электронным внутренностям оказалось несложно получить, купив через интернет специальный ключ всего за 10 долларов. Сделав это, хакер использовал свою программу, которую установил под видом легального обновления управляющего ПО.
Банкоматы нередко становятся предметом интереса хакеров. В прошлом году антивирусные компании обнаружили вирус, поражающий банкоматы американской компании Diebold. Зловредная программа была создана, чтобы помочь злоумышленникам опустошать счета людей, которые воспользовались скомпрометированным устройством.
В США было описано несколько случаев перепрограммирования банкоматов Tranax, чтобы они выдавали крупные купюры вместо мелких (например, двадцатки вместо однодолларовых). Предполагается, что злоумышленники использовали беспечно оставленные администраторами заводские установки логина-пароля, которые можно без проблем отыскать в интернете.
Менее изощренные, но куда более распространенные способы мошенничества включают монтирование на банкомат обманных считывателей карт и скрытых камер для записи вводимого PIN-кода.