A invasão de caixas eletrônicos, também conhecida como jackpotting em caixas eletrônicos, é a retirada ilegal de dinheiro de caixas eletrônicos, explorando suas vulnerabilidades físicas ou técnicas. Dada a onipresença dos caixas eletrônicos, explorá-los é um esquema atraente para criminosos em todo o mundo.

Mesmo antes dos avanços tecnológicos da última década, os criminosos roubavam caixas eletrônicos usando métodos físicos engenhosos, como bifurcação, arrombamento de caixas eletrônicos, roubo de caixas eletrônicos inteiros, etc. No entanto, o fácil acesso à tecnologia nos últimos anos permitiu que os criminosos empregassem ferramentas como jackpotting, malware, exploits, etc., para atingir seus objetivos.

Neste artigo, nos aprofundamos nas especificidades dos vários vetores de ataque físico e eletrônico usados por hackers de caixas eletrônicos, destacando o hack de caixas eletrônicos do Rajastão em 2021 como um exemplo da proliferação contínua de novas ferramentas e técnicas de hacking de caixas eletrônicos.

O maquinário

Um caixa eletrônico típico é composto por dois componentes principais: um gabinete e um cofre. O gabinete é o corpo principal do caixa eletrônico que contém seu computador principal. Este computador está conectado a todos os outros dispositivos do caixa eletrônico, como equipamentos de rede, leitores de cartão, teclados (PIN pads) e caixas eletrônicos. Com apenas uma porta de plástico presa por uma trava frágil, o gabinete está praticamente desprotegido.

Além disso, a maioria dos fabricantes de caixas eletrônicos utiliza a mesma fechadura para todos os caixas eletrônicos de uma série específica, e essas chaves estão prontamente disponíveis na Internet, mas os invasores também podem pegá-las ou perfurar o plástico fraco. Considerando que esses armários de plástico abrigam o caixa eletrônico e os módulos aceitadores de dinheiro, se fossem feitos de aço e concreto, seriam mais duráveis.

O software

A maioria dos caixas eletrônicos do mundo agora funciona no Microsoft Windows, principalmente no Windows XP Professional ou no Windows XP Embedded. No início de 2014, 95% dos caixas eletrônicos ainda estavam funcionando no Windows XP. De acordo com a Wikipedia, um pequeno número de implantações ainda pode estar executando versões mais antigas do sistema operacional Windows, como Windows NT, Windows CE ou Windows 2000, embora a Microsoft atualmente ofereça suporte somente ao Windows 8 e ao Windows 10.

Para ser executado corretamente, o software deve se comunicar com os periféricos do caixa eletrônico, como o leitor de cartão, o teclado e o caixa eletrônico. O XFS (extensões para serviços financeiros), um padrão para simplificar e centralizar o controle de equipamentos, facilita essa comunicação. O XFS é implementado de forma diferente por cada fornecedor de caixas eletrônicos.

Métodos físicos para jackpotting em caixas eletrônicos

Como a maioria dos ladrões de caixas eletrônicos não são particularmente experientes em tecnologia, eles recorrem a métodos de jackpot físico testados e comprovados. Para fazer um assalto rápido, eles usam principalmente técnicas convencionais de jackpotting em caixas eletrônicos, como PINs de cartão de surfe no ombro, forçar a entrada no cofre do caixa eletrônico e assim por diante. Alguns dos métodos comuns incluem:

• Desnatando: Nesse método, o leitor magnético instalado em um caixa eletrônico é substituído por um falso que lê e armazena todas as informações na fita magnética de qualquer cartão inserido no caixa eletrônico. Um consumidor normal terá dificuldade em detectar esse golpe porque existem dezenas de dispositivos de escuta válidos no mercado, tornando quase impossível distinguir entre um genuíno e um falso. Os criminosos também instalam câmeras escondidas na cabine do caixa eletrônico para capturar os PINs correspondentes do caixa eletrônico. As informações obtidas dessa forma são usadas posteriormente para criar duplicatas ilegais de cartões ATM e fraudar titulares de cartões.

• Teclados falsos: Os hackers substituem os teclados dos caixas eletrônicos por teclados falsos que capturam os PINs dos usuários. Essa técnica também é conhecida como “sobreposição de pin-pad” e é um vetor de ataque comum.

• Câmeras escondidas: Outro truque comum e popular usado por atacantes de caixas eletrônicos nas últimas décadas envolve encaixar pequenas câmeras espiãs escondidas em um caixa eletrônico, estrategicamente colocadas perto dos teclados para registrar os PINs dos caixas eletrônicos dos clientes.

• Bifurcação: Aqui, o atacante insere seu cartão e inicia uma pequena retirada de dinheiro. Enquanto o dinheiro é retirado, eles inserem uma ferramenta em forma de garfo no caixa eletrônico, fazendo com que o software do caixa eletrônico seja bloqueado e reiniciado. Em seguida, retiram manualmente o dinheiro do cofre pela passagem do dispensador. O gatilho interno do caixa eletrônico fica confuso com essa ação e perde a noção de quanto dinheiro é dispensado, permitindo saques repetidos.

• Força bruta: Os criminosos também podem simplesmente invadir um cofre de caixa eletrônico danificando o gabinete e retirando a quantia desejada de dinheiro.

Métodos técnicos para jackpotting em caixas eletrônicos

Recentemente, os ladrões de caixas eletrônicos também começaram a empregar tecnologia para contornar os sistemas de segurança dos caixas eletrônicos. Como não têm o treinamento tecnológico e os recursos financeiros necessários para evitar a segurança dos caixas eletrônicos, eles recorrem a agentes de ameaças que vendem os produtos acabados necessários para fazer isso. Em fóruns de crimes cibernéticos e mercados clandestinos, há um crescente ecossistema de atores que vendem vários softwares, além de tutoriais em vídeo detalhados sobre como o software pode ser usado para hackear um caixa eletrônico.

Os mais comuns desses métodos são:

• Cartões de malware ATM: Cartões de malware ATM vendidos na dark web vêm com o descritor de PIN, cartão de gatilho e guia de instruções. Depois que o cartão de malware do caixa eletrônico é instalado no caixa eletrônico, ele captura os detalhes do cartão dos clientes que posteriormente usam o caixa eletrônico. O cartão de gatilho é então usado para dispensar dinheiro em caixas eletrônicos.

• Malware USB ATM: Outro método comum para dispensar dinheiro de forma fraudulenta de caixas eletrônicos é infectá-los com uma unidade USB hospedada por malware. Esse método também tem como alvo máquinas executadas no Windows XP. O Trojan Tyupkinataque é um desses exemplos.

• Ataques remotos de caixas eletrônicos: O hacker desconecta o caixa eletrônico da rede do banco e o conecta a um dispositivo especial que transfere os dados para seu próprio servidor. As redes de caixas eletrônicos geralmente são segmentadas de forma inadequada (separadas por motivos de segurança), e um hacker pode usar esse dispositivo para se infiltrar em vários caixas eletrônicos ao mesmo tempo, mesmo que o dispositivo malicioso esteja conectado apenas a um deles.

A comunicação entre o caixa eletrônico e os servidores de processamento não é criptografada ou tem um baixo nível de criptografia. O atacante instala um centro de processamento de falsificações no servidor e entrega respostas falsas do processador-servidor às máquinas, resultando em um jackpot em dinheiro.

• O ataque da caixa preta: O atacante configura o caixa eletrônico no modo de manutenção e conecta um dispositivo chamado caixa preta (um microcomputador como o Raspberry PI) para controlar as bandejas de dinheiro. Enquanto o atacante está mexendo no caixa eletrônico, a tela mostra uma mensagem de serviço como “Manutenção em andamento” ou “Fora de serviço”, embora, na realidade, o caixa eletrônico ainda possa sacar dinheiro. Essa técnica foi empregada recentemente por duas mulheres no Rajastão para exfiltrar INR 3,2 milhões de várias cidades. Aqui estão os detalhes do incidente.

Investigação do hack de caixas eletrônicos no Rajastão em 2021

Em 26 de julho de 2021, o SOG (Grupo de Operações Especiais) indiano prendeu dois estrangeiros por sacarem ilegalmente INR 3,2 milhões de diferentes caixas eletrônicos no Rajastão. As duas mulheres que foram presas são residentes de Uganda e Zâmbia. A dupla usou um dispositivo conhecido como Raspberry Pi para invadir o servidor do caixa eletrônico e desviar dinheiro ilicitamente de seis caixas eletrônicos em Jaipur, nas áreas de Mahesh Nagar, Gopalpura, Nehru Place e Sanganer, de 16 a 18 de julho de 2021.

Antes desse incidente, a dupla havia tentado, sem sucesso, mexer em um caixa eletrônico do Bank of Baroda em Keshavpura. Este incidente foi revelado pelo gerente do Banco de Baroda, Mahesh Nagar, quando ele apresentou uma FIR sobre a invasão de caixas eletrônicos em 16 de julho.

Sobre os hackers

As duas mulheres envolvidas nesse crime foram identificadas como Laura Keith e Nan Tongo Alexander, residentes na Zâmbia e Uganda, respectivamente. Ambos concluíram seus estudos até o 11º padrão e moravam em um apartamento em Delhi. Esta foi a terceira visita deles à Índia e eles se hospedaram no Polo Victory Palace Hotel em Jaipur durante a época do incidente. Eles parecem estar em meio ao processo de criação de uma rede cibercriminosa na Índia.

O ataque

A dupla começou sua busca em 14 de julho, visitando vários caixas eletrônicos em Jaipur. Eles selecionaram seus alvos com base em:

• O posicionamento do caixa eletrônico: para garantir que eles não foram abordados ou capturados ao hackear o caixa eletrônico.
• A quantidade de dinheiro armazenada: para garantir que os caixas eletrônicos tenham sido reabastecidos.
• A tecnologia usada: já que seu código só era eficaz em caixas eletrônicos usando configurações manuais mais antigas.

Seu reconhecimento os ajudou a descobrir quais caixas eletrônicos poderiam ser alvos. Os hackers não foram apenas meticulosos com a seleção de alvos, mas também com sua aparência. Eles trocavam seus disfarces após cada hack, tornando difícil identificá-los em imagens de CFTV.

Depois de hackear 6 caixas eletrônicos em Jaipur, a dupla se mudou para Udaipur e repetiu o mesmo processo.

O vetor de ataque

Esse hack foi uma execução inteligente de um ataque Man in the Middle (MITM), em que os hackers usaram um dispositivo chamado Raspberry Pi para obter controle sobre o servidor do caixa eletrônico. Um ataque man-in-the-middle ocorre quando um atacante se posiciona no meio de um usuário e de um provedor de serviços, enquanto monitora discretamente ou até mesmo altera a interação entre eles.

O Raspberry Pi é uma série de pequenos computadores de placa única (SBCs) desenvolvidos no Reino Unido pela Fundação Raspberry Pi em associação com a Broadcom. É um computador acessível do tamanho de um cartão de crédito, desenvolvido principalmente para fins educacionais, para facilitar a codificação entre estudantes e em países em desenvolvimento.

Ele também pode ser usado com uma televisão ou um monitor de computador e pode executar todas as funções de um computador desktop. Ele usa um teclado e mouse comuns e atualmente está sendo utilizado em uma ampla variedade de campos, incluindo robótica.

Nesse incidente, os criminosos compraram esse dispositivo por INR 7.000 da Amazon e o modificaram em um servidor. Em seguida, eles visitaram vários caixas eletrônicos, conectaram o dispositivo e substituíram a porta do servidor do banco por seu próprio servidor personalizado e o conectaram ao caixa eletrônico via Wi-Fi. Como resultado, o caixa eletrônico foi completamente desconectado do servidor principal do banco, permitindo que eles retirassem dinheiro sem notificar o banco.

No entanto, devido a uma falha técnica, apenas os caixas eletrônicos que trabalhavam nas configurações manuais antigas do sistema poderiam ser explorados por esse dispositivo, o que limitou os alvos potenciais dos hackers.

Medidas de mitigação

Conforme mencionado, esse hack só foi possível em caixas eletrônicos usando configurações manuais antigas do sistema, destacando assim a importância de corrigir e atualizar o software regularmente.

É altamente recomendável que os bancos:

• Use versões atualizadas de sistemas operacionais e outros softwares.
• Audite e atualize as configurações de segurança do caixa eletrônico regularmente.
• Certifique-se de usar os recursos de segurança de caixas eletrônicos mais atualizados.
• Instale travas de alta segurança, alarmes, câmeras, dispositivos antifraude, etc., para aumentar a segurança.

Conclusão

A invasão de caixas eletrônicos progrediu significativamente ao longo do tempo. Os ladrões de caixas eletrônicos não estão mais apenas roubando dinheiro dos caixas eletrônicos; eles agora estão trocando detalhes de caixas eletrônicos e informações de cartões eletrônicos por dinheiro ou por várias ferramentas de hacking, como malwares, bancos de dados, acessos etc. A seguir estão anúncios de malware e exploits relacionados a caixas eletrônicos que foram publicados por vários agentes de ameaças em vários fóruns.

Referências

• https://en.wikipedia.org/wiki/Automated_teller_machine
• https://cloudsek.com/dark-web-and-atm-hacking/
• https://www.kaspersky.com/blog/tyupkin-atm-malware/6246/
• https://www.ptsecurity.com/ww-en/analytics/atm-vulnerabilities-2018/#id5