Банковский хак дает денежные средства по требованию

Барнаби Джек ударил джек-пот в Black Hat в среду. Дважды.

Используя ошибки в двух разных банкоматах, исследователь из IOActive смог заставить их выплевывать деньги по требованию и записывать конфиденциальные данные из карточек людей, которые их использовали.

Он показал атаки на два которые он приобрел сам - тип универсальных банкоматов, обычно встречающихся в барах и магазинах. Преступники на протяжении многих лет сталкивались с этим типом машины, используя скиммеры ATM, чтобы записывать карточные данные и PIN-коды, или в некоторых случаях просто подтягивать грузовик и вытаскивать машины.

[Читать далее: Как удалить вредоносное ПО из вашего Windows PC]

Но, по словам Джека, есть более простой, гораздо более тревожный способ получить деньги. Преступники могут подключаться к машинам, набирая их - Джек полагает, что у большого числа из них есть инструменты удаленного управления, к которым можно получить доступ по телефону, а затем начать атаку.

После экспериментов с его собственными машинами Джек разработал способ обхода системы удаленной аутентификации и установки домашнего руткита с именем Scrooge, который позволяет ему переопределять прошивку устройства. Он также разработал инструмент онлайн-управления под названием Dillinger, который может отслеживать скомпрометированные машины и хранить данные, похищенные у людей, которые их используют.

Преступники могут найти уязвимые банкоматы, используя программное обеспечение с открытым исходным кодом «набор для военного набора», чтобы вызвать сотни из тысяч номеров, ища тех, кто отвечает, заявив, что у них установлено уязвимое программное обеспечение для управления. Преступники уже использовали подобную технику через Интернет, чтобы проникнуть в уязвимые системы продажи.

Инструменты Джека - это просто концептуальное программное обеспечение, призванное показать, насколько уязвимы машины на самом деле, сказал он. «Цель разговора - зажечь дискуссию о лучших способах исправления», - сказал он.

«Пришло время дать этим устройствам капитальный ремонт», - сказал Джек. «Компании, производящие устройства, не являются Microsoft, у них не было 10 лет непрерывных атак против них».

Машины, взломанные на компьютере, были, однако, основаны на операционной системе Microsoft Windows CE.

В драматическом на сцену в Black Hat, он подключился удаленно в банкомат и запускал программу под названием Jackpot, которая заставляла банкоматы выплевывать наличные деньги, играя мелодию и разбрызгивая слово «Джекпот» по экрану машины.

Во второй демо он подошел к машине, открыл ее ключом, который он получил в Интернете, и установил собственную прошивку. Один, стандартный ключ может открыть много разных типов машин, сказал он, представляя еще одну серьезную проблему безопасности.

Джек планировал выступить с докладом на прошлогодней конференции, но его вытащили после того, как производители банкоматов потребовали больше времени для исправления проблемы, которые он обнаружил.

Роберт Макмиллан покрывает компьютерную безопасность и общую технологию, ломая новости для Служба новостей IDG. Следуйте за Робертом в Твиттере в @bobmcmillan. Адрес электронной почты Роберта: [email protected]