Istraživali smo šta je "džekpoting" i saznali kako hakeri napadaju bankomate širom sveta

Oko 10 ujutru, prošlog novembra u Frajburgu, Nemačkoj, zaposleni u banci primetio je da se nešto čudno dešava sa bankomatom. Ispostavilo se da je softver bankomata bio napadnut virusom nazvanim "Cutlet Maker" ( Proizvođač kotleta) koji je dizajniran da mašina izbaci sav novac na ulicu.

"Ho-ho-ho! hajmo danas da napravimo neke kotlete", je ono što virus ispiše na ekranu bankomata, zajedno sa animacijom kuvara koji obrađuje parče mesa. Istraga je pokazala da se radi o igri reči na ruskom jeziku, gde kotlet ne znači samo parče mesa, već i svežanj novčanica.

Zajedničko istraživanje VICE-a i nemačke TV redakcije Bayerischer Rundfunk (BR) otkrilo je nove detalje serije takozvanih "džek pot" napada na bankomate širom Nemačke 2017. godine u kojima su lopovi uspeli da odnesu preko milion evra. "Džekpotovanje" je tehnika u kojoj sajber kriminalci ne koriste kradene kreditne kartice, već spacijalno dizajnirani "malver" ili parče hardvera kako bi prevarili bankomat koji potom izbacuje sav svoj keš iz mašine. Hakeri obično instaliraju "malver" u bankomat fizičkim otvaranjem ploče na mašini, kako bi širili USB port.

U nekim slučajevima, otkrili smo banke i proizvođače bankomata koji su napadnuti virusom. Iako neke nevladine organizacije u Evropi tvrde da je broj "džekpotovanja" smanjen ove godine, više izvora potvrdilo je da u drugim delovima sveta primećen rast broja ovih pljački. Radi se i Americi, Latinskoj Americi, Jugoistočnoj Aziji i različitim bankama i proizvođačima bankomata.

"Američko tržište je dosta popularno kod lopova", rekao je izvor blizak istrazi za VICE.

Tokom tradicionalne sajber sekjuriti konferencije "Black Hat" još 2010. godine, istraživač Barnabi Džek je demonstrirao na bini uživo kako radi njegov lični malver. Publika ga je častila aplauzom kada je na ekranu bankomata bilo ispisano "džekpot", a novčanice krenule da izleću iz mašine.

Danas, devet godina kasnije, slični napadi dešavaju se širom sveta.

U Frajburgu na primer novac nije ukraden, ali je istraga pokazala da je u seriji napada na bankomate u Severnoj Rajni - Vestfaliji u periodu od februara do novembra 2017. godine akcijama hakera iz bankomata izvučeno oko 1,5 miliona evra. Više izvora potvrdilo nam je da jedna od napadnutih banaka Santander, a da je česta meta bio tip bankomata Wincor 2000xe, proizvođača Diebold Nixdorf.

"U prinicipu ne komentarišemo pojedinačne slučajeve", kaže Bernd Redeker, jedan od direktora u kompaniji Diebold Nixdorf. "Ipak, svesni smo svih pomenutih slučajeva i džekpotinga".

Iz banke Santander su nam poslali saopštenje u kojem se kaže: "Zaštita informacija naših kupaca i integriteta naše fizičke mreže u srži je onoga što radimo. Naši stručnjaci su uključeni u sve faze razvoja proizvoda i operacija kako bi zaštitili klijente i banku od prevara i sajber pretnji. Baš taj fokus, na zaštiti naših podataka i operacija sprečava nas da komentarišemo određene bezbednosne probleme".

Zvaničnici u Berlinu su nam potvrdili da je u poslednjih godinu dana zabeleženo 36 slučajeva džekpotinga, u kojima je ukradeno nekoliko hiljada evra. Odbili su da nam kažu koji je malver korišćen u tim napadima. Ukupno, u Nemačkoj je zabeleženo 82 napada, džekpotinga u poslednjih nekoliko godina, koji nisu svi rezultirali krađom novca iz bankomata. Bitno je znati da džekpoting nije vezan za jednu banku ili proizvođača bankomata.

"Svi dobavljači su u opasnosti, u svim regionima", kaže Redeker.

Po svemu sudeći problem sa bankomatima su i zastareli Windows kompjuteri.

"Te mašine su često vrlo stare i spore", rekao nam je jedan izvor blizak istrazi.

Proizvođači bankomata zato stalno popravljaju bezbednost svojih mašina, ali to nikako ne znači da su svi bankomati podjednakog standarda.

A odgovornost na osiguravanju pristupa bankomatima je pre svega na bankama. "Da biste izvršili napad džekpotinga, morate imati pristup unutrašnjim komponentama bankomata. Dakle, sprečavanje tog prvog fizičkog napada na bankomat je preduslov za uspešnu odbranu od džekpotinga", kaže Dejvid N. Tente, izvršni direktor američkog Udruženju ATM industrije (ATMIA).

Redeker podseća da se ovi napadi beleže širom sveta od 2012. a da je Nemačka pretrpela svoje prve napade u Berlinu 2014. godine.

Otprilike u vreme napada 2017. godine, istraživači kompanije za sajber bezbednost Kasperski objavili su izveštaj koji je pokazao da se "Cutlet Maker" prodaje na hakerskim forumima od maja te godine. Činilo se da svako sa nekoliko hiljada dolara može kupiti opasni softver i sam krenuti u napad na bankomate. "Loši momci prodaju malvere bilo kome", rekao je Dejvid Sančo istraživač u firmi za sajber bezbednost Trend Micro, koji radi sa Europolom na istraživanju džekpotinga. To je omogućilo manjim grupama i hakerima da započnu ciljanje bankomata, dodao je Sančo.

"U principu svaka zemlja na svetu je potencijalna žrtva", kaže Sančo.

VICE je takođe kontaktirao jednog hakera, koji se bavi sajber kriminalom i koji tvrdi da je prodavao Cutlet Maker virus.

"Da, prodajem ga za 1000 dolara," napisao nam je u email poruci, dodajući da može da nam pošalje i tutorijal kako ga koristiti. Pokazao nam je skrinšotove tutorijala kako napasti bankomat na engleskom i ruskom jeziku. Postoje posebni delovi tutorijala koji objašnjavaju kako proveriti koje novčanice se nalaze u bankomatu, i kako instalirati virus u mašinu.

Evropska asocijacija za bezbedne transakcije (EAST), neprofitna organizacija koja prati finansijske prevare, kaže da je broj džekpotinga napada smanjen prošle godine za 43%, ali samo u Evropi.

"To se dešava u delovima sveta gde oni ne moraju nikome da pričaju o tome", dodao je izvor upoznat sa napadima na bankomate. "Povećava se broj napada, ali, opet, najveći problem imamo što niko ne želi da prijavi napade." U januaru 2018. godine, američka tajna služba je započela upozoravanje finansijskih institucija o prvim napadima džekpotinga u SAD, iako su je tada indetifikovan još jedan deo virusa sa bankomata pod nazivom Ploutus.D. "Globalno, istraživanje pokazuje da se broj napada povećao u 2019. godini", napisao nam je u email poruci Tente iz ATMIA.

Ovaj tekst je prvobitno objavljen na VICE US.