Programul care face bancomatele să scuipe toți banii din ele s-a răspândit în toată lumea

Într-o dimineață de noiembrie, la ora 10, un angajat al unei bănci din Freiburg, Germania, a observat că era ceva în neregulă cu unul dintre bancomate.

Conform unui procuror specializat în astfel de cazuri, fusese hackuit cu un malware numit „Cutlet Maker” care face bancomatele să scuipe afară toți banii din ele.

„Ho-ho-ho! Să facem niște cotlete azi!” apare pe ecranul de control Cutlet Maker, alături de niște animații cu un bucătar și o bucată de carne. În rusă, cotlet nu înseamnă doar o bucată de carne, ci și un teanc de bani.

O investigație efectuată de Motherboard și postul de radio nemțesc Bayerischer Rundfunk (BR) a scos la iveală detalii noi despre mai multe atacuri de tip „jackpot” asupra bancomatelor din Germania în urma cărora hoții au obținut peste un milion de euro în 2017. Jackpot-ul e o tehnică prin care hackerii folosesc malware sau un element de hardware ca să păcălească un bancomat să scoată din el toți banii, fără să mai fie nevoie de un card de credit furat. De obicei, hackerii instalează malware-ul în ATM prin deschiderea unui panou al aparatului care are un port USB.

În unele cazuri, am identificat banca și producătorul de bancomate care au fost afectați. Deși o organizație europeană non-profit a zis că atacurile de tip jackpot au scăzut în regiune în prima jumătate a acestui an, mai multe surse au spus că numărul atacurilor a crescut în alte părți ale lumii. Regiunile atacate includ Statele Unite, America Latină și Asia de Sud-Est, iar problema afectează băncile și producătorii de bancomate din toată industria financiară.

În Statele Unite e chiar popular, a declarat o sursă care cunoaște îndeaproape cazurile. Motherboard și BR le-au oferit anonimitate mai multor surse familiare cu aceste cazuri, ca să poată vorbi deschis.

În timpul conferinței anuale de cybersecuritate Black Hat din 2010, regretatul cercetător Barnaby Jack a demonstrat live pe scenă cum funcționează un malware pentru bancomate inventat de el. Publicul a izbucnit în aplauze când bancomatul a afișat cuvântul „JACKPOT” și a eliberat un val de bancnote.

Acum, astfel de atacuri sunt la ordinea zilei peste tot.

În cazul din Freiburg nu s-au furat bani, a declarat un polițist. Dar Cristoph Hebbecker, un procuror din statul german Renania de Nord - Westfalia, a zis că biroul lui investighează zece incidente care au avut loc între februarie și noiembrie 2017, inclusiv atacuri din care hoții au plecat cu tone de bani. Per total, hackerii au furat 1,4 milioane de euro, a zis Hebbecker.

Hebbercker a adăugat că, din cauza naturii similare a atacurilor, el bănuiește că toate ar fi fost comise de aceeași bandă de infractori. În unele cazuri, procurorii au dovezi video, dar nu și suspecți până acum.

„Investigația continuă”, mi-a scris Hebbecker într-un e-mail.

Mai multe surse au zis că cele mai multe atacuri din 2017 au afectat banca Santander; două surse au specificat că hoții au atacat tipul de bancomat Wincor 2000xe, făcut de producătorul Diebold Nixdorf.

„În general, nu comentăm asupra cazurilor singulare”, a zis Bernd Redecker, director de securitate și management al fraudelor la Diebold Nixdorf. „În orice caz, suntem conștienți de aceste cazuri și ne ocupăm de ele.” Diebold Nixdorf a vândut aceste bancomate și pe piața americană.

Un purtător de cuvânt al băncii Santander a declarat într-un e-mail: „Prioritatea noastră e protejarea informațiilor clienților noștri și a integrității rețelei noastre fizice. Experții noștri sunt implicați în fiecare etapă a dezvoltării de produs și în operațiunile de protejare a clienților și a băncii de fraude și amenințări cu atacuri cibernetice. Faptul că suntem obligați să ne protejăm informațiile și operațiunile ne împiedică să comentăm despre anumite probleme de securitate.”

Autoritățile din Berlin au zis că se confruntă cu cel puțin 36 de cazuri de atacuri jackpot din primăvara anului 2018, în cadrul cărora s-au furat mai multe mii de euro. Au refuzat să numească malware-ul folosit.

Per total, autoritățile au înregistrat 82 de atacuri de tip jackpot în diferite state din Germania în ultimii câțiva ani, conform purtătorilor de cuvânt ai poliției. Dar nu toate au avut succes.

E important să ții minte că aceste atacuri nu se limitează la o singură bancă sau un singur producător de bancomate. Probabil că celelalte atacuri au afectat și alte bănci în afară de Santander; dar astea sunt cele analizate de investigația noastră.

„Nu e un atac direcționat spre un anumit aparat sau brand, nici spre o anumită regiune”, a zis Redecker.

Problema cu securitatea bancomatelor e că majoritatea sunt, în esență, computere vechi care funcționează cu Windows.

„Sunt niște aparate vechi și lente”, a zis o sursă familiară cu atacurile.

Producătorii de bancomate și-au îmbunătățit dispozitivele pe partea de securitate, a accentuat Redecker de la Diebold Nixdorf. Dar asta nu înseamnă că toate bancomatele din industrie vor respecta aceleași standarde.

Iar responsibilitatea pentru securitatea bancomatelor cade și pe bănci.

„Pentru a executa un atac jackpot, trebuie să ai acces la componentele interne ale bancomatelor. Așadar, e important să previi acest prim atac fizic, ca să le poți preveni pe cele jackpot”, a zis într-un e-mail David N. Tente, director executiv al Asociației Industriei ATM (ATMIA).

Redecker a zis că a văzut astfel de atacuri pe tot globul din 2012 încoace. În Berlin, primul a avut loc în 2014.

În perioada atacurilor din 2017, cercetătorii de la firma de securitate cibernetică Kaspersky au publicat o cercetare care dezvăluia că Cutlet Maker se găsea de vânzare pe forumurile de hackeri din luna mai a anului respectiv. Oricine putea cumpăra virusul cu câteva mii de dolari, ca să încerce atacuri jackpot pe bancomate.

Tipii răi vând acest malware oricui e dispus să-l cumpere, a zis David Sancho, cercetător pe securitate cibernetică la firma Trend Micro, care colaborează cu Europolul pe acest subiect.

„Chestia asta poate afecta orice țară din lume”, a zis Sancho.

Motherboard a stat de vorbă cu un hacker care susținea că are de vânzare malware-ul Cutlet Maker.

„Da, îl vând. Costă o mie de dolari”, ne-a scris într-un e-mail și a adăugat că ne poate învăța cum să-l folosim. Ne-a arătat screenshoturi dintr-un manual de instrucțiuni în limba rusă și engleză, care învață utilizatorii cum să golească un bancomat. Manualul te învață inclusiv cum să instalezi malware-ul și cum să verifici câte bancnote sunt într-un bancomat.

Asociația Europeană pentru Tranzacții Sigure (EAST), o organizație non-profit care urmărește fraudele financiare, a zis, într-un raport publicat luna aceasta, că atacurile jackpot au scăzut cu 43 de procente față de anul anterior. Dar merită menționat că rapoartele EAST acoperă doar Europa.

„Se întâmplă în multe părți ale lumii unde nu se vorbește despre asta”, a adăugat o sursă familiară cu atacurile ATM. „Sunt în creștere, iar principala problemă e că nimeni nu vrea să raporteze cazurile.”

În ianuarie 2018, serviciile secrete au început să avertizeze instituțiile financiare despre primele atacuri de tip jackpot din Statele Unite, deși aceleau foloseau un altfel de malware numit Ploutus.D.

„Sondajul nostru din 2019 arată că atacurile jackpot sunt în creștere la nivel global”, ne-a scris Tente de la ATMIA.

Așa cum a zis o sursă familiară cu atacurile: „Se întâmplă multe atacuri, dar de multe ori nu se vorbește despre ele.”

Articolul a apărut inițial pe VICE US.