Vào tháng 8/2016, khi một ngân hàng ở Nga thông báo và cung cấp cho Kaspersky một máy ATM đã bị rút hết tiền, với dấu vết để lại là một lỗ khoan bằng quả bóng gôn (bị che đi bằng một hình dán) bên cạnh bàn phím nhập mã PIN. Sau đó, đã có hàng chục vụ lấy cắp tiền tương tự xảy ra ở Nga.
Cảnh sát Nga đã bắt được một nghi phạm mang theo một máy tính xách tay và một dây cáp để cắm vào bên trong ATM thông qua lỗ khoan cạnh bàn phím.
Các chuyên gia đã sử dụng một chiếc ATM cùng loại có trong phòng thí nghiệm của họ để thử mô phỏng kiểu tấn công của tin tặc. Kết quả, chỉ với một chiếc khoan điện cầm tay và một chiếc máy tính tự chế có giá 15 USD, họ đã có thể “ra lệnh” cho máy ATM “nhả” tiền theo ý muốn. Tên nhà sản xuất ATM không được tiết lộ, nhưng các nhà nghiên cứu cảnh báo rằng, kẻ trộm đã áp dụng kiểu tấn công này ở nhiều địa điểm tại Nga và châu Âu, đồng thời các loại ATM trên khắp thế giới đều có thể bị lợi dụng theo cách tương tự.
.jpg)
Sau khi gỡ tấm chắn phía trước ATM, người ta tìm thấy một cổng serial có thể kết nối thông qua lỗ hổng nhỏ cạnh bàn phím. Cổng đó nối với một đường dây chạy tới bus nội bộ của cả chiếc máy rút tiền (kênh kết nối mà máy tính ra lệnh cho thiết bị nhả tiền). Sau 5 tuần khám phá với máy đo hiện sóng (oscilloscope) và bộ phân tích lôgic, giải mã giao thức giao tiếp nội bộ của ATM từ các tín hiệu điện tử, họ phát hiện ra rằng, máy ATM chỉ mã hoá bằng phép XOR rất đơn giản và không có biện pháp xác thực được thiết lập nào giữa các môđun của nó.
Giả thiết ban đầu là, bất kỳ phần nào của máy ATM cũng có thể gửi lệnh tới các cấu phần khác và tin tặc có thể gửi lệnh giả tới bộ nhả tiền. Sau cùng, các chuyên gia đã tạo được một thiết bị có thể gửi lệnh chi tiền qua cổng serial bị hở. Thiết bị đó nhỏ hơn nhiều so với chiếc máy tính xách tay mà tin tặc vẫn dùng và chỉ gồm một bộ cắm dây (breadboard), một bộ vi xử lý Atmega (loại thường thấy trong những chiếc máy Arduino) một vài tụ điện, một bộ chuyển đổi điện áp và một pin 9 vôn. Tổng chi phí cho những thiết bị đó chưa tới 15 USD.
Trong thử nghiệm, các chuyên gia đã có thể dùng thiết bị của họ ra lệnh cho bộ nhả tiền chỉ sau vài giây nối với cổng serial và có thể lấy bao nhiêu tiền tuỳ thích. Điều duy nhất ngăn kẻ trộm rút tiền là khi máy tính của ATM phát hiện ra bộ nhả tiền hoạt động độc lập và khởi động lại thiết bị. Tuy nhiên, các nhà nghiên cứu cho biết họ vẫn kịp rút hàng nghìn USD trước khi máy khởi động lại và sau đó vẫn có thể lặp lại quá trình rút tiền cho đến khi máy hết sạch tiền.
Kaspersky cho biết, họ đã cảnh báo cho nhà sản xuất, nhưng việc khắc phục là vấn đề không hề đơn giản vì firmware của máy không thể cập nhật từ xa, điều quan trọng hơn là để bổ sung các biện pháp xác thực cần phải thay thế phần cứng của ATM. Có một cách khác là bổ sung các biện pháp kiểm soát truy cập và sử dụng camera giám sát để phát hiện những kẻ phá hoại.
Kiểu tấn công mới này đạt hiệu quả cao hơn nhiều so với những cách làm trước đây của tội phạm. Ở châu Âu, người ta thường thấy tội phạm bơm khí ga vào ATM để làm nổ tung chiếc máy rồi nhặt tiền. Những vụ trộm tiền từ ATM gần đây ở Thái Lan và Đài Loan thì bằng cách lây nhiễm mã độc vào hệ thống để điều khiển máy nhả tiền. Một số ngân hàng ở Nga và Kazakhstan thậm chí còn bị lây mã độc có khả năng ẩn mình, lây nhiễm thông qua tệp. Nhưng tất cả những cách đó đều dễ bị phát hiện và ngăn chặn hơn kiểu tấn công bằng cách truy cập vật lý qua lỗ khoan để gửi lệnh nhả tiền.
Bình thường, việc mở khoang máy của ATM sẽ làm phát ra tín hiệu báo động. Còn việc nối với cổng serial qua lỗ khoan thì khó bị phát hiện (tự động) hơn nhiều. Không những thế, các cuộc tấn công trực tiếp vào ATM là những vấn đề gần như không có cách giải quyết.
Với những chuyên gia bảo mật, một chiếc máy tính không còn được xem là an toàn khi kẻ tấn công có quyền truy xuất trực tiếp. Nhưng sử dụng mã hoá yếu và không có biện pháp xác thực cho phép gửi lệnh tới bất kỳ cấu phần nào của ATM thực sự là vấn đề nghiêm trọng.
