„ATM jackpotting” to nazwa nadana technice ataku, dzięki której cyberprzestępcy przejmują kontrolę nad bankomatem i zmuszają go do wypłacenia wszystkich zgromadzonych banknotów, niemal jak w pokerowym jackpocie – stąd określenie „jackpotting”. Choć brzmi to jak scena z filmu sensacyjnego, w ostatniej dekadzie odnotowano wiele przypadków takich ataków na całym świecie, kierowanych zarówno przeciwko bankom, jak i niezależnym operatorom tych maszyn.
Na czym polega jackpotting?
Atak na bankomat nie polega na fizycznym wyłamaniu lub zniszczeniu urządzenia – to przede wszystkim akty cyberprzestępcze wykorzystujące podatności w oprogramowaniu i interfejsach systemowych ATM. Najpierw grupa atakująca uzyskuje dostęp do systemu wewnętrznego bankomatu, a następnie instaluje złośliwe oprogramowanie, które przejmuje kontrolę nad funkcjami wydawania gotówki. Po instalacji taki malware – często określany jako „jackpotting malware” – komunikuje się z wewnętrznym oprogramowaniem bankomatu i wysyła mu komendy, które wymuszają wypłatę wszystkich banknotów znajdujących się w kasetach.
Często napastnicy docierają do systemu operacyjnego bankomatu – zwykle starszych wersji Windows lub Unix-like – poprzez porty serwisowe, dostęp fizyczny technika lub luki w aplikacjach, które nie są aktualizowane. Po wejściu do wewnętrznego systemu hakerzy instalują narzędzie, które kontroluje sprzętowy interfejs wydawania gotówki oraz ekrany użytkownika, żeby wszystko wyglądało jak normalna operacja transakcyjna.
Jak wygląda atak krok po kroku
- Dostęp fizyczny lub zdalny: Napastnik uzyskuje dostęp do ATM – czasem fizycznie poprzez serwisanta lub przez porty serwisowe, a czasem zdalnie poprzez sieć podatnych urządzeń.
- Instalacja malware: Zainstalowane złośliwe oprogramowanie przejmuje kontrolę nad systemem operacyjnym bankomatu.
- Komenda „Jackpot”: Oprogramowanie wysyła komendy do kontrolera bankomatu, który steruje slotami wypłaty gotówki.
- Wypłata gotówki: Bankomat wydaje wszystkie banknoty, zwykle pozostawiając urządzenie w stanie gotowości.
- Zacieranie śladów: Nadużycie często jest tak skonfigurowane, iż urządzenie wygląda na niezmienione, co utrudnia natychmiastowe wykrycie incydentu.
Niektóre kampanie są dodatkowo maskowane w warstwie oprogramowania, tak aby bankomat wyglądał na normalnie działający – dopiero po pewnym czasie okazuje się, iż kasety na pieniądze się puste.
Przykłady udokumentowanych incydentów
Historia cyberprzestępczości zna wiele spektakularnych przypadków ATM jackpottingu. W 2018 r. międzynarodowa grupa cyberprzestępcza znana jako Cobalt lub Carbanak wykorzystała zainfekowane narzędzie do wypłacania milionów dolarów z bankomatów w Europie i Ameryce Łacińskiej, często w koordynowany sposób, w godzinach pracy banków.
W innym przypadku analiza zagrożeń ujawniła, iż różne grupy hakerskie wykorzystują podobne techniki malware do jackpottingu również w Azji i Afryce, celując zdalnie w bankomaty z niezaktualizowanymi komponentami oprogramowania.
Dlaczego ATM są podatne na ataki jackpottingu
Istnieje kilka fundamentalnych przyczyn tej podatności:
- Przestarzałe oprogramowanie: Wiele ATM-ów działa na starszych wersjach systemów operacyjnych, które nie są regularnie aktualizowane.
- Brak segmentacji sieci: Systemy bankomatów często są podłączone do sieci banku, ale ich wydzielona część nie ma odpowiednich zabezpieczeń segmentacyjnych.
- Słabe hasła i dostęp serwisowy: Nieaktualne lub domyślne dane dostępowe ułatwiają zdalny dostęp.
- Ograniczone mechanizmy detekcji: ATM-y często nie mają pełnych mechanizmów logów czy monitoringu, które wykrywałyby nietypową aktywność wewnętrzną.
To połączenie czynników czyni bankomaty atrakcyjnym celem dla ataków jackpottingowych, ponieważ atakujący może uzyskać szybki i wymierny zysk przy relatywnie niskim ryzyku wykrycia, dopóki incydent nie zostanie odkryty przez bank.
Podsumowanie – jackpotting jako złożony i zyskowny wektor ataku
ATM jackpotting nie jest już scenariuszem rodem z filmów akcji – to realne zagrożenie, które przynosi poważne straty finansowe instytucjom na całym świecie. Atakujące grupy wykorzystują podatne oprogramowanie, przestarzałe systemy i słabe mechanizmy kontroli dostępu, aby przejąć kontrolę nad bankomatami i wyłudzić środki w sposób niemal automatyczny.
Dla banków i operatorów ATM najważniejsze jest traktowanie bezpieczeństwa systemu i infrastruktury z taką samą powagą jak ochrony danych finansowych i transakcji – bo bezpieczeństwo systemu bankomatu to podstawa zaufania klientów i stabilności usług finansowych.
