25/06/2021

Χάκερ παραβιάζει ATM χρησιμοποιώντας μόνο ένα κινητό

Στο παρελθόν, για να παραβιάσει κάποιος ένα ATM, έπρεπε να αποκτήσει φυσική πρόσβαση σε μια θύρα USB – μια πράξη υπερβολικά εμφανής στο φως της ημέρας, καθώς συνήθως περιλαμβάνει την καταστροφή κάποιου μέρους του μηχανήματος. Ακόμα και οι network-based επιθέσεις που εκτελούνται πιο σπάνια, ενώ γίνονται απομακρυσμένα, μοιάζουν ιδιαίτερα επικίνδυνες. Η απευθείας εισβολή σε μια τράπεζα και η εύρεση, στη συνέχεια, τρόπου παραβίασης ενός ΑΤΜ, θα απαιτούσε, εξάλλου, μια πιο εκτεταμένη δεξιότητα. Άλλωστε, δεν πρέπει να ξεχνάμε το πόσο δύσκολο είναι να μη γίνει κάποιος αντιληπτός όταν δρα μέσα σε ένα εξαιρετικά προστατευόμενο περιβάλλον. Όπως αναφέρει το Wired,  στις 24 Ιουνίου ο Josep Rodriguez, ερευνητής και σύμβουλος της εταιρείας ασφαλείας “IOActive”, που έχει δημιουργήσει μια συλλογή με σφάλματα που επηρεάζουν τα συστήματα NFC (near-field communication) όπου βασίζονται πολλά σύγχρονα μηχανήματα για την ασύρματη μετάδοση δεδομένων, συμπεριλαμβανομένων των πληροφοριών χρεωστικών και πιστωτικών καρτών κατάφερε να αντλησει επιτυχώς χρήματα με την χρήση μόνον του κινητού τηλεφώνου του.

Ο Rodriguezοποίος είχε προσληφθεί για να δοκιμάσει τα μηχανήματα ώστε να βελτιώσει την ασφάλειά τους, μπόρεσε να χρησιμοποιήσει τους αναγνώστες NFC για να προκαλέσει αυτό που οι προγραμματιστές αποκαλούν “buffer overflow” ή περίσσεια δεδομένων, που καταστρέφει τη μνήμη ενός μηχανήματος. Αυτή η παλιά (δεκαετιών) τεχνική επίθεσης επέτρεψε στον Rodriguez να εκμεταλλευτεί τα ΑΤΜ και άλλα point-of-sale μηχανήματα – σκεφτείτε τα μηχανήματα αγοράς καταστημάτων λιανικής – με διάφορους τρόπους: καταγραφή πληροφοριών καρτών πληρωμής, έγχυση malware και ακόμη και σε μια περίπτωση “jackpotting” ενός ATM.

Ο Rodriguez δημιούργησε ένα Android app που επιτρέπει στο smartphone του να «μιμείται» αυτές τις ραδιοεπικοινωνίες με πιστωτική κάρτα και να εκμεταλλεύεται ελαττώματα στο firmware των συστημάτων NFC. Μπορεί να εκμεταλλευτεί μια ποικιλία σφαλμάτων, για να καταστρέψει point-of-sale συσκευές, να τις χακάρει προκειμένου να συλλέξει και να μεταδώσει δεδομένα πιστωτικών καρτών, να τροποιήσει «κρυφά» συναλλαγές, ακόμη και να κλειδώσει τις συσκευές καθώς εμφανίζει ένα μήνυμα ransomware.

https://www.secnews.gr/357286/hacker-paraviazi-atm-xrisimopiontas-kinito/

Rodriguez shared a video with WIRED in which he waves a smartphone over the NFC reader of an ATM on the street in Madrid, where he lives, and causes the machine to display an error message. The NFC reader appears to crash, and no longer reads his credit card when he next touches it to the machine. (Rodriguez asked that WIRED not publish the video for fear of legal liability. He also didn't provide a video demo of a jackpotting attack because, he says, he could only legally test it on machines obtained as part of IOActive's security consulting to the affected ATM vendor, with whom IOActive has signed an NDA.)

READ MORE: Researchers Hack ATMs by Waving a Phone

No comments :

Post a Comment