Když přijde řeč na bezpečnost a běžné uživatele, občas se trpce pousmějeme nad chabými hesly, děravým zabezpečením domácích Wi-Fi routerů nebo třeba nad věčným klikáním na přílohy a odkazy v e-mailech, u kterých je už na první pohled zřejmé, že se jedná o podvodný phishing.
Zatímco u běžných smrtelníků je absence pokročilého zabezpečení ještě jakžtakž pochopitelná, o to zarážející je skutečnost, že občas nějakou tu botu udělají i ti, pro které je bezpečnost náplní práce. Třeba banky.
Jejich bankomaty čelí kybernetickým útokům odjakživa a není se čemu divit, obalamutit plechovou krabici plnou bankovek, aby vám je vydala, je totiž občas snazší než realizace sofistikované ransomwarové kampaně s krajně nejistým výsledkem.
Děravá Xpéčka
I když totiž bankomaty vypadají všelijak, ve své podstatě to jsou v nitru vcelku běžné počítače, na kterých ještě nedávno ve velké míře běžely prehistorická Windows XP – Xpéčka, která mohou chytit virus.
Ukázka útoku na bankomat podle KasperskyLab:
Jeden takový se jmenoval Ploutus, bezpečnostní analytici jej poprvé zaznamenali v roce 2013 a k jeho nahrání do bankomatu posloužila servisní jednotka CD-ROM. Díky aktivovanému automatickému spouštění programů na externím médiu se pak malware dostal do systému a na povel vydal peníze ze zásobníku.
Bankomat s Windows se právě nakazil skrze CD-ROM programem Tyupkin. Stačí zvolit zásobník peněz (cassette) a začnou létat bankovky.
Aby to bylo možné, malware musel získat speciální práva, jak se však později ukázalo, mnohé bankomaty používaly výchozí zabezpečení od výroby. Stručně řečeno, trpěly stejným bezpečnostním neduhem jako mnohé starší domácí Wi-Fi sítě, jejichž routery/AP používají ve webové administraci výchozí kombinaci přihlašovacího jména a hesla.
K USB se dostanete za pár sekund, potvrzují čeští experti
Přístup k optické jednotce bankomatu samozřejmě vyžadoval dostatečné soukromí a znalost samotného zařízení, to se však změnilo s nástupem bankomatů se servisními USB porty. Slouží k tomu, aby mohl skutečný technik k bankomatu připojit třeba klávesnici, nebo externí úložiště a provedl, co potřebuje.
Bylo jen otázkou času, kdy regulérního technika u bankomatu nahradí opět náš hypotetický záškodník. Tedy, on vlastně není nikterak hypotetický, tímto způsobem se totiž na bankomaty útočí i dnes. Stačí najít USB port a připojit klávesnici, externí flashové úložiště nebo třeba jen mobil.
Možná vás napadne, že se jedná pouze o teoretické riziko, protože USB port bude jistě umně schovaný a dobře zabezpečený, opak je ale pravdou. „Ověřili jsme si, že člověk, který ví, kde hledat, se ke skrytému USB portu bankomatu dostane v řádu sekund,“ vysvětluje Tomáš Sláma, šéf penetračních testerů AEC.
Společnost AEC nedávno provedla audit v nejmenované slovenské finanční instituci poté, co jeden z největších dodavatelů bankomatů Diebold Nixdorf rozeslal zákazníkům varování ohledně zjištěných kybernetických útoků na jeho zařízení, které se hojně používají také v Česku a na Slovensku.
ATM jackpotting
Přístup k takto kritické části bankomatu tedy nemusí být vůbec složitý a nevyžaduje ani technickou znalost zařízení – vše je už dávno na Googlu. Ze stejného důvodu už nejsou útoky tohoto typu – takzvaný ATM jackpotting – doménou výhradně špičkových záškodníků, ale ATM jackpotting je dnes na darknetových e-shopech (Tor apod.) nabízený i jako komerční produkt.
Reklama na bankomatový malware na někdejším darknetovém e-shopu AlphaBay. Cena je relativně vysoká, ale může se vrátit už při prvním úspěšném útoku na bankomat.
To znamená, že si může jakýkoliv zájemce za určitou bitcoinovou částku koupit některou z těchto utilit, zkopírovat ji na běžnou flešku a podle návodu ji připojit k bankomatu. Třeba takový Cutlet Maker pro bankomaty s Windows, který v nedávné minulosti opět spoléhal v chabé hardwarové i softwarové zabezpečení a útočníkovi přímo na displeji bankomatu zobrazil jak zůstatek v zásobnících, tak možnost výběru.
Program si mohli zájemci zprvu koupit a používat dle libosti, načež jeho autor obchodní model vylepšil a obdařil jej vstupním pinem – kódem. Program tedy vydal peníze pouze v případě, že jste zadali správné heslo, které jste si koupili přímo na webu. Díky tomu se mohl program volně šířit internetem.
Peníze zdarma vydává jen v neděli
Mnohé z těchto bankovních malwarů měly i docela propracovaný systém vlastního zabezpečení. Jakmile program útočník nahrál do bankomatu, ten po sobě všemožně zametl stopy a reagoval třeba jen v určitý den v týdnu – typicky v neděli.
Cutler Maker vydá sušenky, ale až poté, co zadáte správné heslo. Tlačítko CHECK HEAT vydá bankovku ze zvoleného zásobníku, start cooking! pak sérii bankovek.
Pokud jste se jej pokusili na terminálu vyvolat v jiný den, jednoduše mlčel a jeho autor doufal v to, že jej tak neodhalí případná kontrola. A kdyby k tomu přece jen došlo a někdo malware použil neoprávněně – třeba by zadal chybné aktivační heslo, program na krátký čas odpojí bankomat od internetové sítě. Tím se bránil proti dálkovému auditu.
Nákup kódu na torovém darknetu
Případ s bankomaty Diebold Nixdorf ukazuje, že byť se o exotickém ATM jackpottingu příliš nemluví a v celém balíku malwaru tvoří jen zanedbatelnou část, stále láká záškodníky po celém světě s vidinou, že se bankomat vlastně docela rychle a snadno – ideálně s přispěním bílého koně – promění v kouzleného oslíka, ze kterého vypadávají bankovky.
