3 phút để đọc
Các chuyên gia của Positive Technologies đã kiểm tra các máy ATM của NCR, Diebold Nixdorf và GRGBanking để xác định rủi ro tiềm ẩn mà các ngân hàng và khách hàng của họ đang phải đối mặt. Kết quả chỉ ra rằng nhiều máy ATM ở Mỹ có thể bị hack trong chỉ 10 phút.
69% các máy ATM được kiểm tra dễ bị tổn thương trước kiểu tấn công Black Box. Tội phạm có thể kết nối các thiết bị “Hộp đen” với máy rút tiền ATM, nơi thiết bị được lập trình để gửi lệnh nhả tiền. Theo báo cáo mới đây của Positive Technologies, toàn bộ cuộc tấn công, bao gồm kết nối thiết bị với ATM, vượt qua lớp bảo mật và lấy tiền, chỉ tốn mất 10 phút trên một số máy ATM.
Các cuộc tấn công vào ATM đang trở thành một chủ đề được quan tâm trên toàn cầu. Vào tháng 1 năm 2018, Sở Mật vụ Mỹ cùng với các nhà cung cấp ATM lớn như Diebold Nixdorf và NCR đã đưa ra cảnh báo khẩn cấp về mối đe dọa từ các vụ tấn công ATM. Theo báo cáo của NCR, các cuộc tấn công Black Box đã được phát hiện ở Mexico vào năm 2017 và lan sang Mỹ vào năm 2018. Báo cáo về việc các máy ATM ở Mỹ bị hack bằng mã độc bắt đầu xuất hiện từ năm 2009, cùng với việc phát hiện ra Skimmer, một mã độc Trojan có khả năng đánh cắp tiền và dữ liệu thẻ ngân hàng. Kể từ đó, các cuộc tấn công logic ngày càng trở nên phổ biến trong giới tội phạm mạng.
Các nhà nghiên cứu tại Positive Technologies phát hiện rằng đến 85% các máy ATM có lớp bảo mật kém trước các cuộc tấn công mạng như giả mạo trung tâm xử lý. Qua đó, tội phạm có thể can thiệp vào quá trình xác nhận giao dịch, giả mạo phản hồi từ trung tâm xử lý để phê duyệt mọi yêu cầu rút tiền, hoặc tăng lượng giấy bạc ngân hàng mà ATM nhả ra. Báo cáo cũng mô tả viễn cảnh của các cuộc tấn công vào modem GSM được kết nối với ATM. Kẻ tấn công có thể chiếm quyền truy cập vào modem GSM và sử dụng nó để tấn công các máy ATM khác trong cùng mạng lưới, hay thậm chí cả mạng nội bộ của ngân hàng.
92% máy ATM dễ dàng bị tấn công vì không được mã hóa ổ cứng. Như vậy, kẻ tấn công có thể kết nối trực tiếp với ổ cứng ATM, cài mã độc và vô hiệu hóa các cơ chế bảo mật. Nhờ đó, chúng dễ dàng chiếm quyền kiểm soát máy rút tiền.
Trên 76% ATM được kiểm tra có thể thoát khỏi chế độ kiosk. Điều này trở nên đáng lo ngại, bởi khi những hạn chế đối với người sử dụng bình thường bị bỏ qua, kẻ tấn công có thể chạy lệnh trong hệ điều hành ATM. Các chuyên gia tại Positive Technologies ước tính thời gian cần thiết cho cuộc tấn công này là 15 phút và thậm chí ít hơn đối với những kẻ tấn công đã được chuẩn bị kỹ lưỡng và biết tận dụng quy trình tự động hóa.
Leigh-Anne Galloway, trưởng bộ phận phục hồi an ninh mạng tại Positive Technologies, cho biết: “Nghiên cứu của chúng tôi cho thấy phần lớn các máy ATM không thể tự dừng kết nối với các thiết bị phần cứng không xác định. Vì vậy, kẻ tấn công có thể kết nối bàn phím hoặc các thiết bị khác để bắt chước input của người dùng. Hầu hết các ATM không có lệnh cấm đối với một số tổ hợp lệnh phổ biến dùng để truy cập các chức năng của hệ điều hành. Hơn nữa, chính sách bảo mật cục bộ thường bị cấu hình sai hoặc hoàn toàn không tồn tại. Các phương pháp Kiểm soát Ứng dụng trên 88% các ATM có thể bị vượt qua do whitelist kém hay do các lỗ hổng, bao gồm một số lỗ hổng “zero-day”, đang tồn tại trong chính phần mềm Kiểm soát Ứng dụng được sử dụng.”
“Mặc dù chủ sở hữu ATM chịu nhiều đe dọa từ các cuộc tấn công logic, chính khách hàng cũng có thể trở thành nạn nhân. Khi tiến hành công tác bảo mật, chúng tôi liên tục phát hiện ra các lỗ hổng liên quan đến an ninh mạng, cấu hình sai và bảo vệ ngoại vi kém. Điều này tạo điều kiện cho tội phạm cướp tiền từ máy ATM và chiếm thông tin thẻ của khách hàng. Để giảm nguy cơ tấn công và tăng tốc độ phản ứng trước rủi ro, bước đầu tiên là phải bảo vệ cây ATM, đồng thời ghi lại và giám sát các sự kiện bảo mật trên ATM và các hạ tầng liên quan. Việc đánh giá mức độ bảo mật ATM thường xuyên là rất quan trọng để phát hiện kịp thời và khắc phục các lỗ hổng.”
