Finante-Banci

Ce-au mai inventat infractorii: Programul care jefuieste bancomate prin SMS (Video)

04 Apr, 15:34 • Redactia DailyBusiness
Specialistii unei firme de securitate informatica au descoperit la finalul anului trecut un program malware, Backdoor Ploutus, care permite infractorilor sa atace un bancomat si sa retraga sume de bani prin intermediul unei tastaturi externe, fara sa fie necesara utilizarea unui card bancar.
Ce-au mai inventat infractorii: Programul care jefuieste bancomate prin SMS (Video)

Programul era utilizat la acel moment
doar in Mexic, insa cateva saptamani mai tarziu Symantec a descoperit
o noua versiune a programului, denumita Backdoor Ploutus.B, mai
sofisticata si adaptata pentru a fi utilizata in toate colturile
lumii. 

Noua varianta a programului malware
permite infractorilor cibernetici sa compromita un bancomat si sa retraga in mod neautorizat sume
de bani prin simpla trimitere a unui mesaj SMS.

Concret, infractorii
pot controla de la distanta un bancomat folosind un telefon mobil
care se conecteaza prin portul USB la sistemul bancomatului si il
infecteaza cu Backdoor.Ploutus.B. In urma conectarii telefonului
mobil cu bancomatul, infractorii trimit comenzi
specifice prin mesaje SMS intr-un format pe care bancomatul il primeste sub forma unui pachet de
informatii de retea.

Network Packet Monitor (NPM) este un
modul al programului malware care detecteaza pachete de informatii prin monitorizarea
traficului de retea din cadrul unui bancomat.

Odata ce un bancomat compromis primeste un pachet de
informatii din partea telefonului, validat de protocolul TCP sau UDP,
modulul NPM va analiza pachetul in
cautarea numarului “5449610000583686” intr-o anumita ramificatie
a informatiilor din pachet pentru a
procesa datele intregului pachet.

Odata detectat numarul, modulul NPM va citi urmatoarele 16 cifre si le va
folosi pentru a elabora o linie de comanda care activeaza programul malware si permite retragerea
neautorizata de bani din bancomat si, in unele cazuri, chiar informatii bancare precum numere de card si coduri
PIN.

Cum functioneaza Backdoor.Ploutus.B

1. Infractorul instaleaza programul
malware in sistemul bancomatului prin intermediul unui telefon mobil conectat la aparat printr-un
cablu USB.

2. Infractorul trimite doua mesaje SMS
catre telefonul mobil conectat la bancomat.

2.1 Primul SMS contine un cod de
validare a identitatii pentru a activa Backdoor.Ploutus.B in sistemul bancomatului.

2.2 Al doilea SMS trebuie sa contina o
comanda valida pentru retragerea sumelor de bani din bancomat.

3. Telefonul detecteaza mesajele SMS
valide primite si le trimite mai departe catre ATM intr-un pachet specific de protocol TCP sau
UDP.

4. In cadrul bancomatului, modulul NPM
(Network Packet Monitor) intercepteaza pachetul TCP/UDP, iar daca acesta contine o comanda
valida, va activa Backdoor.Ploutus.B.

5. Programul malware permite retragerea
de sume de bani prestabilite, in absenta unui card bancar.

6. Banii sunt colectati din ATM prin
intermediul unui partener aflat in proximitatea bancomatului.

Specialistii Symantec au testat
programul malware Ploutus (demonstratia video este accesibila
aici
), iar Symantec Security Response a
descoperit mai multe variante de programe malware care ataca bancomatele. In cazul Ploutus,
atacatorii incearca sa fure bani din interiorul unui ATM, insa exista
alte programe malware ale caror atacuri
vizeaza furtul informatiilor de card si codurilor PIN ale clientilor.

Metode de protectie a bancomatelor
impotriva atacurilor malware

Bancomatele moderne dispun de
caracteristici imbunatatite de securitate si hard-drive-uri criptate care pot preveni instrumentarea acestor
tehnici de instalare. in schimb, in foarte multe tari din lume exista
in continuare bancomate mai vechi
operate cu Windows XP, iar protejarea acestora impotriva atacurilor este o provocare dificila, mai ales ca
numeroase bancomate sunt plasate independent de o sucursala bancare in zone variate, uneori izolate
si predispuse atacurilor.

O alta problema tipica este securitatea
propriu-zisa a sistemului informatic in baza caruia functioneaza bancomatul.

Un bancomat
functioneaza cu ajutorul unui computer care controleaza procesarea unei retrageri de bani de pe
card, iar aproape 95% dintre aceste aparate sunt operate prin intermediul unor versiuni software
neactualizate si, implicit, vulnerabile metodelor tot mai sofisticate
de atac.

Astfel, sunt necesare masuri precum
actualizarea sistemului de operare folosit de computerul din bancomat, utilizarea unor sisteme
avansate de securitate, atat la nivel informatic dar si prin supravegherea video si, nu in ultimul rand, blocarea BIOS-ului computerului pentru a preveni
bootarea acestuia prin intermediul CD-ROM-urilor si stick-urilor USB.

Odata activate aceste masuri,
atacatorii vor intampina dificultati majore in compromiterea unui ATM, spun specialistii.