Black box- mało znany sposób rabunku bankomatów

Black Box to rzadko stosowana w Polsce metoda kradzieży pieniędzy z bankomatu. Posługiwali się nią przestępcy zatrzymani niedawno w woj. bydgoskim. Czy wiecie, na czym polega?

Zdarza się, że słyszymy, że bankomat został wysadzony, ewentualnie wyciągnięty przy użyciu traktora. Trafić można również na artykuł o tym, że została nałożona nakładka klejowa (z ang „cash trapping”). Ewentualnie nakładka kopiująca dane z karty (tzw. „skimmer”). Niewiele jednak w polskich mediach możemy znaleźć o ataku black box na ATM (inaczej jackpotting). Dlaczego? Bo w Polsce takie sytuacje są rzadkością, niemniej jednak są ciekawym, trochę nietypowym zjawiskiem, z którym warto się zapoznać.

Czym jest atak black box?

To rodzaj logicznego ataku na bankomat, w którego trakcie sprawca najczęściej poprzez fizyczne zniszczenie bankomatu chce uzyskania dostępu do wewnętrznej infrastruktury, celem ingerencji w system operacyjny urządzenia. Działanie to ma na celu odłączenie bankomatu od infrastruktury bankowej i przypięcie do własnego urządzenia, zainfekowanie go i wydanie natywnych poleceń, powodujących zwolnienie gotówki w maszynie.

Czym infekuje się bankomaty?

W 2018 roku w Stanach Zjednoczonych odnotowano kilkadziesiąt udanych ataków black box w bardzo krótkim czasu. Do tego działania wykorzystano, znany już wcześniej z Meksyku, malware Ploutus. Początkowo było to oprogramowanie kompatybilne tylko z urządzeniami firmy NCR. Oczywiście z biegiem czasu bankomaty zostały coraz lepiej zabezpieczane przez producentów, więc i przestępcy zaczęli rozszerzać używane przez siebie malware. Ploutus przeszedł do wersji Ploutus.D i jest obecnie w stanie zainfekować znacznie szerszą gamę rodzajów bankomatów.

Wbrew temu, jakie informacje można znaleźć w niektórych artykułach, malware ten nie opiera się na wykorzystaniu podatności oprogramowania komputera. Wykorzystuje on wewnętrzny protokół oraz komunikację wewnętrzną urządzenia.

Jak przebiega atak?

Na pierwszym etapie przygotowania, przestępcy muszą oczywiście zadbać o posiadanie wiedzy dotyczącej działania bankomatu. W Internecie można jednak znaleźć dokumentację techniczną urządzeń różnych modeli. Nie szukając zbyt długo, można również nabyć, potrzebne do przeprowadzenia testów, wewnętrzne części bankomatu (dyspenser, terminal, komputer etc.). Kiedy dodatkowo malware już przygotowano, pora na fizyczne wykorzystanie go przy bankomacie.

Na tym etapie przestępcy wykorzystują swoją kreatywność, która nie zna granic. Często działają w w nocy. Znane są jednak i sytuacje, w których do ingerencji w urządzeniu dochodziło w trakcie dnia. Brak wzbudzania podejrzeń przez przechodniów oszuści zapewniali sobie poprzez przebranie się np. za konwój podjeżdżający do urządzenia regularnie.

Częsty sposobem przedostania się do komputera bankomatu jest zniszczenie panelu świetlnego tego urządzenia. Zazwyczaj ma to na celu wyjęcie dysku twardego urządzenia, zainfekowanie go i ponowne zainstalowanie.

Black box: po co te manipulacje?

Spotyka się również manipulację tylnej części bankomatu, gdzie przestępcy otworzyli urządzenie i podłączyli własnego laptopa w pełni obsługiwany zdalnie. We wspomnianych już wcześniej atakach na urządzenia, w Stanach Zjednoczonych wykorzystywano wywiercany w bocznej części obudowy otwór, przez który wprowadzany był endoskop, taki sam, jaki możemy widywać w rękach lekarzy. Miał on własne źródło światła oraz kamerkę przyłączoną do telefonu.

Bez różnicy na sposób ingerencji w urządzenie, cel jest ten sam – przestępcy chcą dostać się do komputera bankomatu, celem bezpośredniego podłączenia urządzenia, które pozwala im na zainfekowanie oprogramowania. Przed zainstalowaniem malware, wyłącza się programy antywirusowe. Następnie dochodzi do utraty łączności sieciowej bankomatu z central. Przyczyn takie zjawiska jest wiele. Reakcja osób odpowiedzialnych za obserwację tego ruchu bywa opóźniona. Przestępcy w tym czasie restartują system operacyjny, który po podniesieniu się jest w pełni przygotowany do ostatniego etapu akcji przestępczej, czyli wydania komendy wypłaty znajdujących się z nim środków pieniężnych.

Jak się przed tym bronić?

Indywidualna osoba przychodząca wypłacić gotówkę w tzw. „ścianie płaczu”, nie musi zaprzątać sobie głowy tym zagrożeniem. To atak wycelowany we właścicieli bankomatów. W razie nieautoryzowanej wypłaty gotówki z urządzenia, nieksięgującej się na żadnym rachunku, muszą ponieść koszty tego zdarzenia.

Ciekawostką jest, że atakujący nie musi być wprawionym programistą. Fałszywe oprogramowanie z powodzeniem można kupić w sieci, łącznie z instrukcją użycia. Niemniej jednak przestępcy pewnie jeszcze nie raz zaskoczą nas swoją kreatywnością i nowym podejście do popełnienia przestępstwa.

Źródło: bulldogjob.pl

fot. pixabay.com