ATM Jackpotting
O que é ATM Jackpotting?
ATM JackpottingAtaque em que o dispensador de um ATM é forçado a libertar todo o seu dinheiro, através de acesso físico ao topo do equipamento ou de um comprometimento da rede.
O jackpotting de ATM foi demonstrado publicamente pelo já falecido Barnaby Jack na Black Hat 2010, onde fez equipamentos Tranax e Triton libertar dinheiro numa demonstração a que chamou "Jackpotting". Os ataques modernos dividem-se em duas famílias.
Jackpotting físico
A equipa abre o topo do ATM (muitas vezes com uma chave roubada ou universal), desliga o dispensador do PC em funcionamento e liga um dispositivo do atacante — um portátil, um Raspberry Pi ou um endoscópio médico para alcançar o cabo. Malware como o Ploutus.D, o Cutlet Maker (vendido como crimeware-as-a-service na dark web por cerca de 5000 dólares) ou o WinPot comunica então com o dispensador através do middleware XFS (eXtensions for Financial Services), emitindo comandos de dispensa que esvaziam todas as cassetes em minutos. A primeira onda confirmada de jackpotting nos EUA ocorreu em janeiro de 2018 (alertas do Secret Service/Diebold Nixdorf).
Cash-out por rede
flowchart TD A[Spear-phishing a funcionário do banco] --> B[Ponto de apoio na rede do banco] B --> C[Alcançar o servidor do switch<br/>de pagamentos AIX/Windows] C --> D[Injetar Trojan.FastCash<br/>no processo do switch] D --> E[Mula insere o cartão<br/>num ATM no estrangeiro] E --> F[O pedido de levantamento chega<br/>ao switch comprometido] F --> G[O malware forja uma<br/>aprovação ISO 8583] G --> H[O ATM liberta dinheiro;<br/>o saldo real da conta fica intacto]
O FASTCash, operado pelo grupo Lazarus/APT38 (Hidden Cobra / BeagleBoyz) ligado à RPDC, compromete o servidor aplicacional do switch de pagamentos de um banco e forja mensagens de aprovação ISO 8583 para que os cartões mula levantem dinheiro que a conta não pode cobrir. A CISA/FBI/Tesouro detalharam-no em outubro de 2018; num único incidente em 2017 foi retirado dinheiro de ATMs em mais de 30 países em simultâneo, e um incidente de 2018 abrangeu 23 países, com perdas totais estimadas em dezenas de milhões de dólares.
Defesas
Sensores físicos e fechaduras mais robustas no topo do equipamento; palavras-passe de BIOS e cifragem total do disco; allowlisting aplicacional no sistema operativo do ATM; firmware do dispensador assinado e autenticado, e a cifragem ponta a ponta do XFS 3.0+ entre o PC e o dispensador; e segmentação, MFA e autenticação de mensagens (MAC) na ligação entre o ATM e o switch.
● Exemplos
- 01
Mulas com o kit MaaS Cutlet Maker a esvaziar ATMs do Leste europeu em 2017-2018.
- 02
Esquema FASTCash do grupo Lazarus a enviar mensagens de aprovação para drenar mais de 100 milhões de USD de ATMs.
● Perguntas frequentes
O que é ATM Jackpotting?
Ataque em que o dispensador de um ATM é forçado a libertar todo o seu dinheiro, através de acesso físico ao topo do equipamento ou de um comprometimento da rede. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa ATM Jackpotting?
Ataque em que o dispensador de um ATM é forçado a libertar todo o seu dinheiro, através de acesso físico ao topo do equipamento ou de um comprometimento da rede.
Como se defender contra ATM Jackpotting?
As defesas contra ATM Jackpotting costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para ATM Jackpotting?
Nomes alternativos comuns: Jackpotting, Cash-out.