Cash App Hack Free Money Glitch in 3 Minutes
Barnaby Jack ha vinto il jackpot al Black Hat mercoledì. Due volte.
Sfruttando bug in due diversi bancomat, il ricercatore di IOActive è stato in grado di sputarli a richiesta e registrare dati sensibili dalle carte delle persone che li usavano.
Ha mostrato gli attacchi a due sistemi che si era acquistato da solo: il tipo di macchine ATM generiche che si trovano tipicamente nei bar e nei negozi di alimentari. I criminali colpiscono da anni questo tipo di macchine, usando gli skimmer ATM per registrare dati di carte e numeri PIN, o in alcuni casi semplicemente tirando su un camion e trasportando via le macchine.
[Ulteriori letture: Come rimuovere il malware dal tuo PC Windows]Ma secondo Jack c'è un modo più semplice e molto più allarmante per ottenere i soldi. I criminali possono connettersi alle macchine componendole - Jack crede che un gran numero di loro abbiano strumenti di gestione remota accessibili tramite un telefono - e poi lancino un attacco.
Dopo aver sperimentato con le sue macchine, Jack ha sviluppato un modo per aggirare il sistema di autenticazione remoto e installare un rootkit fatto in casa, chiamato Scrooge, che gli consente di scavalcare il firmware della macchina. Ha anche sviluppato uno strumento di gestione online, chiamato Dillinger, che può tenere traccia delle macchine compromesse e archiviare i dati rubati da chi li usa.
I criminali potrebbero trovare bancomat vulnerabili utilizzando software open source "war-dialing" per chiamare centinaia di migliaia di numeri, cercando quelli che rispondono dicendo che hanno installato il software di gestione vulnerabile. I criminali hanno già utilizzato una tecnica simile su Internet per penetrare in sistemi di punti vendita vulnerabili.
Gli strumenti di Jack sono solo software proof-of-concept, progettati per mostrare quanto vulnerabili siano realmente le macchine, ha affermato. "L'obiettivo del discorso è quello di stimolare la discussione sui migliori modi per rimediare", ha detto.
"È ora di dare a questi dispositivi una revisione", ha detto Jack. "Le aziende che fabbricano i dispositivi non sono Microsoft, ma non hanno mai subito 10 anni di attacchi continui contro di loro."
Le macchine Jack hacked erano tuttavia basate sul sistema operativo Microsoft Windows CE.
In un drammatico Durante la dimostrazione sul palco di Black Hat, si è collegato da remoto a un bancomat e ha lanciato un programma chiamato Jackpot che ha spinto i bancomat a sputare contanti, mentre suonava una melodia e spruzzava la parola "Jackpot" sullo schermo della macchina.
In una seconda demo, si avvicinò alla macchina, la aprì con una chiave che aveva ottenuto su Internet e installò il proprio firmware. Una singola chiave standard può aprire molti diversi tipi di macchine, ha detto, presentando un altro serio problema di sicurezza.
Jack aveva pianificato di tenere il discorso alla conferenza dello scorso anno, ma è stato ritirato dopo che i distributori ATM hanno chiesto più tempo per la patch i problemi che aveva scoperto.
Robert McMillan copre le ultime notizie relative alla sicurezza informatica e alla tecnologia generale per Il servizio di notizie IDG. Segui Robert su Twitter all'indirizzo @bobmcmillan. L'indirizzo e-mail di Robert è [email protected]
Consigli di un professionista su frodi ATM
Un annuncio video online per dispositivi antifrode ATM ha offerto uno sguardo alle tecniche dei criminali.
Judge Gives Guilty File-Sharer un regalo
La riduzione del copyright rende entrambe le parti infelici;
Lezioni importanti da imparare dal Black Hat ATM Hack
L'hack ATM dimostrato in Black Hat è impressionante in un modo sensazionale, ma anche tiene lezioni importanti per la sicurezza informatica in generale.