Gli esperti di Kaspersky Lab hanno condotto un’indagine in risposta agli attacchi informatici che hanno colpito numerosi bancomat in tutto il mondo.
Nel corso dell’indagine, i ricercatori dell’azienda hanno scoperto un malware che infetta i bancomat permettendo agli aggressori di svuotare gli sportelli automatici tramite manipolazione diretta, rubando milioni di dollari. INTERPOL ha allertato i paesi membri colpiti ed è coinvolta nelle indagini in corso.
I criminali lavorano di notte, solo di domenica e lunedì. Senza inserire nessuna carta di credito nel bancomat, digitano una combinazione numerica sulla tastiera dello sportello automatico, fanno una chiamata per ricevere ulteriori informazioni da un operatore, inseriscono un’altra serie di numeri e il bancomat inizia a regalare contanti.
Nello specifico, Kaspersky ha rivelato che i criminali operano in due fasi. Prima ottengono accesso fisico ai bancomat e inseriscono un CD avviabile per installare il malware – chiamato “Tyupkin” - poi riavviano il sistema ottenendo il controllo del bancomat infetto.
Dopo l’infezione, il malware va in loop in attesa di un comando. Tyupkin accetta comandi solo in un determinato momento durante le notti di domenica e lunedì, per questo è difficile da identificare. In queste ore i criminali sono in grado di rubare denaro dai dispositivi infetti.
I filmati ottenuti dalle telecamere di sicurezza presso i bancomat infettati hanno mostrato il metodo usato per ottenere i contanti dai dispositivi. Una nuova combinazione basata su una serie random di numeri viene generata ad ogni sessione, assicurando che nessuno oltre la banda possa trarre vantaggio dalla frode. Quindi, il criminale riceve istruzioni al telefono da un altro membro della banda che conosce l’algoritmo ed è in grado di generare una chiave in base al numero mostrato.
Quando la chiave viene inserita correttamente, il bancomat indica i dettagli sulla quantità di denaro disponibile in ogni sportello automatico, invitando l’operatore a scegliere il bancomat da derubare. Quindi, il dispositivo eroga 40 banconote alla volta.
Dopo la richiesta da parte di un’istituzione finanziaria, il Global Research and Analysis Team di Kaspersky Lab ha condotto un’indagine su questo attacco cybercriminale. Il malware identificato da Kaspersky Lab, chiamato Backdoor.MSIL.Tyupkin, è stato finora individuato in bancomat situati in America Latina, Europa e Asia.
In un post precedente, vi avevamo documentato come era possibile giocare a Doom utilizzando uno sportello bancomat che, nella maggior parte dei casi, è (o era) equipaggiato con Windows XP.