Un cajero automático es una computadora en un armario con cajones llenos de dinero
Los ciberdelincuentes están librando una guerra contra los bancos, vaciando de dinero sus cajeros automáticos. Sus herramientas preferidas son el malware, una clave de eBay y una Raspberry Pi. Así es como lo están haciendo.
Ganar el premio gordo
Han pasado más de diez años desde que el difunto hacker e investigador de ciberseguridad Barnaby Michael Douglas Jack demostró a una cautivada audiencia cómo podía comprometer los cajeros automáticos. La presentación de Jack tuvo lugar el 28 de julio de 2010 en la conferencia Black Hat USA en Las Vegas. A diferencia de las famosas máquinas tragamonedas de Las Vegas, los dos cajeros automáticos en el escenario donde estaba Jack podían facilitar efectivo hasta que estuvieran vacíos, todo el tiempo. De forma fiable y repetida.
Es apropiado que el término jackpot (premio gordo) se acuñara en lo que probablemente sea la ciudad de juego más famosa del mundo. Se utiliza para describir ataques que tienen como objetivo cajeros automáticos y los vacían. El otro ataque común a los cajeros automáticos es el skimming, en el que los números PIN de los usuarios y los datos de sus tarjetas se copian y utilizan para crear tarjetas clonadas.
El jackpotting está en aumento, lo que resulta en la pérdida de decenas de millones de dólares cada año. Cientos de miles de cajeros automáticos han sido atacados en Asia y Europa, y los ataques están aumentando en los EE. UU. Algunas estimaciones dicen que desde 2016 se han visto afectados los cajeros automáticos de 100 bancos diferentes en 30 países, lo que representa a los diversos actores de amenazas en la región de $ 1 mil millones.
Estas operaciones a gran escala son sofisticadas. Requieren planificación, vigilancia, un pequeño ejército de tropas terrestres o mulas, algo de conocimiento, algo de malware y algún equipo. Atrás quedaron los días en que se encadenaba el cajero automático a un camión y el delincuente se marchaba con él.
Ahora pueden usar una Raspberry Pi.
El modus operandi
Un cajero automático es efectivamente una computadora en un recinto reforzado vinculado a cajones llenos de dinero. Lamentablemente, el sistema operativo dentro de las computadoras no está tan reforzado como el armario en el que se encuentra la computadora. La mayoría se ejecuta en Windows 7, aunque Windows XP también es común. Estos son sistemas operativos obsoletos que deberían haberse retirado hace mucho tiempo. Sus vulnerabilidades son abundantes y los ciberdelincuentes las comprenden bien.
Los paquetes de malware se pueden comprar en la web oscura para aprovechar las vulnerabilidades de estos sistemas operativos e interactuar con el software del cajero automático. Tienen nombres como atmspitter, cutlet maker, green dispenser, fast cash y pylon. Los precios oscilan entre $ 200 y $ 1.000 dólares, según la marca y el modelo de los cajeros automáticos a los que se dirigen. Algunos de los paquetes de malware contienen software propietario comprometido que pertenece a los fabricantes de cajeros automáticos.
Los delincuentes también deberán gastar alrededor de $ 150 por los equipos que necesitarán, incluida una Raspberry Pi.
Paso 1: ¿Dónde están los objetivos?
Los cajeros automáticos de una ciudad están mapeados y estudiados. Los buenos objetivos son los que tienen un elevado uso, porque son los que tienen más dinero. Los objetivos ideales son los cajeros automáticos de alto valor en áreas de poca o ninguna vigilancia.
Los ataques generalmente se programan para días como el Viernes Negro o el Día de San Valentín, cuando los cajeros automáticos están cargados con hasta un 20 por ciento más de dinero de lo habitual. Los cajeros automáticos también se cargan con dinero extra en las semanas previas a la Navidad porque muchos habrán recibido su bono anual o de Navidad en su paga.
Paso 2: ¿Cuáles son las marcas y modelos de los cajeros automáticos?
El conocimiento del hardware del cajero automático permite comprar el malware apropiado y la clave adecuada para abrir el armario del cajero automático. Algunos fabricantes ponen su nombre en algún lugar del cajero automático, lo que facilita la identificación. Los grandes nombres en la fabricación de cajeros automáticos son Diebold Nixdorf, Wincor Nixdorf, NCR, Triton e Hitachi-Omron.
Fotografiar el cajero automático permite obtener ayuda de los contactos de la web oscura o la búsqueda de imágenes de Google para determinar la marca y el modelo. Una vez que estén armados con las versiones de los cajeros automáticos que van a comprometer, los delincuentes pueden buscar en los mercados de la web oscura, e incluso en sitios web claros como Ali Baba y eBay, para obtener claves de mantenimiento de cajeros automáticos.
Los precios de estos comienzan en $ 10 y suben a aproximadamente $ 50. Usarán la clave para abrir el cajero automático y acceder a los puertos USB.
Paso 3: instalar malware
Los puertos USB de los cajeros automáticos están restringidos y solo aceptarán una conexión desde un teclado o un mouse. Esto es para permitir que los empleados realicen el mantenimiento de las unidades. Los delincuentes habrán cargado el malware en su Raspberry Pi y obtenido una batería para que pueda funcionar como una unidad portátil.
El malware está escrito de una manera que convence al cajero automático de que la Raspberry Pi es un teclado. Los comandos almacenados entran de la Raspberry Pi al cajero automático, y el cajero automático los sigue obedientemente.
Paso 4: Jackpot (el premio gordo)
Es posible hacer que un cajero automático arroje billetes a una velocidad de 40 billetes en 20 segundos o más, o aproximadamente 120 en un minuto. Si son billetes de $ 100 dólares, eso es $ 12.000 por minuto.
De hecho, un premio gordo.
Variaciones sobre un tema
El jackpot a gran escala llega a muchos cajeros automáticos a la vez, lo que significa que se necesita tener mucha gente en las calles realizando estos ataques y recogiendo el dinero. Estas son las mulas baratas en el extremo inferior del espectro criminal. Con un poco de capacitación y entrenamiento, estos operativos de bajo nivel son capaces de hacer el lado físico del ataque y el malware hace el resto.
Es más barato equipar una mula con una Raspberry Pi que con una computadora portátil, y una Raspberry Pi es más fácil de ocultar en el cuerpo. A veces, la Raspberry Pi está equipada con un sistema global de $ 70 para receptor de comunicaciones móviles (GSM) para que acepte comandos a través de mensajes de texto SMS.
Otra variante es insertar en el cajero automático un dispositivo de memoria USB y reiniciarlo desde un sistema operativo en el dispositivo de memoria. Cuando el cajero automático se haya iniciado, se puede instalar el malware directamente en el sistema operativo actualmente inactivo del cajero automático. Cuando reinicia el cajero automático con su sistema operativo habitual, se puede controlar el malware insertando una tarjeta especialmente creada o mediante una combinación de teclas secretas en el teclado del cajero automático.
Los cajeros automáticos contienen software de acceso remoto para que puedan recibir asistencia y mantenimiento de forma remota. Si se puede comprometer este software, se podrá controlar una colección de cajeros automáticos zombies de forma remota. Todo lo que tienen que hacer las mulas es estar en el lugar correcto en el momento adecuado para recoger el dinero.
No se conoce la verdadera escala
Existe la creencia de que muchos robos de cajeros automáticos no se denuncian, por lo que realmente no conocemos la verdadera magnitud del problema. Sin embargo, sabemos dos cosas. La primera es que el premio gordo que conocemos ya es enorme. La segunda es que seguirá creciendo.
Hasta que los fabricantes de cajeros automáticos tomen en serio la seguridad de los cajeros automáticos, los ciberdelincuentes verán los cajeros automáticos como cajas llenas de dinero esperando a que las vacíen.