Hace un año Jack anunció que lo demostraría durante la conferencia Black Hat 2009, pero la charla fue cancelada de último momento. Esto ayudo a reforzar su investigación y este año espera mostrar nuevos trucos a través de dos nuevos modelos de cajero automático (ATM), para demostrar que los ataques de software local y remoto se traducen en grandes desembolsos.

Jack escribió que los ataques más frecuentes en los cajeros automáticos suelen exigir el uso de card skimmers (robo de información de tarjetas de crédito para legitimar las transacciones) o el robo físico de las propias máquinas. Rara vez vemos algún ataque dirigido al software.

Aunque no reveló la marca de cajeros automáticos, el software o sistema operativo subyacente que permite este exploit, se conoce un caso en donde hackers rusos instalaron software malicioso en varios de los cajeros automáticos modelo Opteva en Rusia y Ucrania, para saquear al menos 20 cajeros. Estos cajeros utilizaban el software de Diebold (la misma compañía de las polémicas maquinas de votación electrónica) basado en el sistema operativo Windows, por lo que Diebold tuvo que lanzar una alerta urgente [PDF].

De acuerdo con el laboratorio de seguridad SpiderLabs, el ataque requería información privilegiada – como un técnico de cajeros automáticos o cualquier otra persona con una llave de la máquina – para colocar el malware en el cajero. Una vez hecho esto,  los atacantes podían insertar una tarjeta de control dentro del lector para activar el malware y darles el control de la máquina a través de una interfaz personalizada y keypad.

El malware capturaba PINs  y números de cuenta  de las transacciones de la maquina y luego los entregaba al ladrón en un recibo impreso en un formato encriptado o en un dispositivo de almacenamiento insertado  en el lector de tarjetas. De esta manera,  un ladrón podría sacar todo el dinero de un cajero con capacidad para 600 mil dólares.

Este año durante la conferencia Black Hat 2010 (28-29 Julio, Las Vegas), Barnaby Jack se propone a exponer la fallas de seguridad en su charla llamada “Jackpotting Automated Teller Machines Redux” y revelar un rootkit ATM multi-plataforma, así como discutir los mecanismos de protección que los fabricantes de cajeros automáticos pueden aplicar para evitar estos ataques.

Click aqui para ver el video.

Links:
- ATM Vendor Halts Researcher’s Talk on Vulnerability (Wired)
- ATM security flaws could be a jackpot for hackers (Reuters)

Imágen de uno de los sospechosos

Hace algunos días les contamos sobre el descubrimiento de un malware que habría dejado expuestas 100 millones de tarjetas de crédito (aunque la cantidad definitiva tal vez nunca la sepamos).

Coincidiendo con los hechos anteriores, el FBI se encuentra realizando una investigación sobre un ataque informático que habría vulnerado los sistemas de seguridad de la empresa RBS Worldpay, por medio del cual se habrían obtenido los datos necesarios para clonar tarjetas bancarias y lograr un botín de nueve millones de dólares, girados desde distintos cajeros automáticos.

La empresa en cuestión se encarga de supervisar el procesamiento de pagos por medios electrónicos (incluyendo el uso de tarjetas de crédito y débito) y el mes recién pasado había informado del robo en cien cuentas, advirtiendo de la posibilidad de que se utilizaran tarjetas clonadas.

Según la investigación que lleva a cabo el FBI el robo se habría materializado el 8 de Noviembre de 2008, siendo afectados unos 130 cajeros automáticos (ubicados en 49 ciudades alrededor del mundo) en un período de 30 minutos.

El o los atacantes que vulneraron los sistemas informáticos de la compañía, lograron vulnerar los sistemas de control que restringen la cantidad de dinero que se puede girar por día. De esta forma las personas que fueron a realizar los giros desde los distintos cajeros, no tuvieron problemas para sacar el dinero sin que se les restringiera el mismo cuando superaban el límite establecido.

Los agentes a cargo de la investigación señalaron que con anterioridad se habían investigado otros casos de clonación de tarjetas, pero que era primera vez que se detectaba un caso que involucrara tantas máquinas afectadas, en distintas ciudades y con una importante cantidad de gente actuando de forma coordinada.

Link: FBI Investigates $9 Million ATM Scam (Vía New York Post)