Взломать банкомат за 15 минут
Эксперты компании Positive Technologies решили проверить уровень безопасности современных банкоматов. Для этого исследователи тщательно изучили 26 моделей банкоматов крупнейших производителей (NCR, Diebold Nixdorf, GRGBanking).
(Нужны люди для разгрузки банкомата. Приватный софт.
https://t.me/skimmingservice )
В итоге выяснилось, что практически все устройства уязвимы перед теми или иными локальными или сетевыми атаками, а уровень защиты, пожалуй, лучше всего характеризует известный термин «театр безопасности». Дело в том, что 85% изученных машин оказалось возможно скомпрометировать в течение 15 минут.
Вот только некоторые выводы и цифры, приведенные в отчете специалистов:
- 15 из 26 банкоматов по-прежнему работают под управлением Windows XP;
- 22 машины уязвимы перед сетевым спуфингом, то есть атакующий может локально подключиться к устройству через LAN и осуществлять мошеннические транзакции. Причем для реализации такой атаки понадобится всего 15 минут;
- 18 устройств уязвимы перед атаками типа black box, то есть подключив к банкомату специальное устройство, управляющее работой диспенсера, атакующий может заставить его выдавать наличные. Исследователи отмечают, что для создания такого хакерского девайса подходит Raspberry Pi, Teensy или BeagleBone, а атака занимает около 10 минут;
- 20 банкоматов можно вывести из режима киоска, просто подключившись к ним через USB или PS/2. После этого атакующий получает доступ к ОС и может выполнять самые разные команды;
- 24 из 26 изученных машин не шифруют данные на жестких дисках, и если злоумышленник может получить физический доступ к диску, он может извлечь любые хранящиеся там данные и конфигурации.
«В большинстве случаев защитные механизмы будут лишь мелкой помехой для атакующих: наши специалисты нашли способы обойти защиту практически в каждом случае. Так как банки обычно используют одинаковые конфигурации для большого числа банкоматов, успешная атака на один банкомат может быть повторена в куда большем масштабе», — резюмируют исследователи.