Hiểm họa hacker dùng kỹ thuật “jackpotting” để đánh lừa máy ATM tự động phun tiền mặt

09/08/2020 05:35 PM | Công nghệ

Nếu không tìm được giải pháp sớm cho vấn đề này, đây có thể sẽ là nguy cơ lớn đối với các ngân hàng và máy ATM trên toàn cầu.

Hiểm họa hacker dùng kỹ thuật “jackpotting” để đánh lừa máy ATM tự động phun tiền mặt

Năm 2010, Barnaby Jack, một nhà nghiên cứu bảo mật nổi tiếng thế giới đã hack thành công một máy ATM trên sân khấu tại Hội nghị Black Hat, thậm chí lừa máy ATM phun tiền ra trước sự chứng kiến của đông đảo mọi người. Kỹ thuật lừa đảo máy ATM này có tên là "jackpotting".

Hiểm họa hacker dùng kỹ thuật “jackpotting” để đánh lừa máy ATM tự động phun tiền mặt - Ảnh 1.

Một thập kỷ sau màn trình diễn của Jack, các nhà nghiên cứu bảo mật vừa tiết lộ thêm hai lỗ hổng mới trong hầu hết các máy ATM của nhà sản xuất Nautilus ATM.

Hai nhà nghiên cứu bảo mật Brenda So và Trey Keown đến từ công ty bảo mật Red Balloon ở New, York, Mỹ cho biết, hai lỗ hổng bảo mật được phát hiện cho phép họ có thể lừa một chiếc máy ATM độc lập trong các cửa hàng tự động phun tiền ra theo lệnh của họ.

Được biết, tin tặc sẽ cần phải kết nối chung mạng với máy ATM để có thể hack. Và đây cũng là điều khiến việc thực hiện một màn tấn công jackpotting trở nên khó khăn hơn. Nhưng hóa ra, các máy ATM cho tới nay vẫn tồn tại những lỗ hổng khác mà hacker có thể khai thác để lừa đảo.

Hiểm họa hacker dùng kỹ thuật “jackpotting” để đánh lừa máy ATM tự động phun tiền mặt - Ảnh 2.

Keown cho biết, các lỗ hổng mới trên máy ATM của hãng Nautilus ATM chủ yếu liên quan đến phần mềm, cụ thể là việc nhiều máy ATM vẫn còn chạy phiên bản Windows đã lỗi thời hàng thập kỷ và không còn được Microsoft hỗ trợ bảo mật.

Hai nhà nghiên cứu bảo mật đã mua một chiếc máy ATM về để thử tìm các lỗ hổng liên quan đến phần mềm của chúng.

Lỗ hổng đầu tiên được tìm thấy trong mô hình kiến trúc phân lớp có tên XFS (Extensions for Financial Services) thường được sử dụng để giao tiếp với các phần cứng như đầu đọc thẻ. Nhưng lỗi không nằm ở XFS mà là ở cách nhà sản xuất ATM triển khai các kiến trúc phân lớp phần mềm trong máy ATM. Các nhà nghiên cứu nhận thấy, việc gửi một yêu cầu có ý đồ xấu qua mạng có thể kích hoạt cơ chế nhả tiền ra của máy ATM.

Lỗ hổng thứ hai được tìm thấy liên quan đến phần mềm quản lý từ xa của máy ATM. Đây là công cụ được tích hợp sẵn cho phép những người quản lý ATM có thể cập nhật phần mềm và kiểm tra lượng tiền còn lại. Việc phát hiện ra lỗi này sẽ cho phép tin tặc có thể truy cập vào cài đặt của máy ATM.

Hiểm họa hacker dùng kỹ thuật “jackpotting” để đánh lừa máy ATM tự động phun tiền mặt - Ảnh 3.

Một khi đã tiếp cận được ATM, hacker có thể chuyể bộ xử lý thanh toán của ATM sang một máy chủ độc hại do hacker kiểm soát. Từ đó lấy sạch dữ liệu ngân hàng và lấy tiền từ các chủ thẻ tín dụng.

Bloomberg trước đây đã từng tiết lộ về các lỗ hổng bảo mật khi các nhà nghiên cứu chia sẻ phát hiện của họ cho Nautilus. Nhưng đáng tiếc đã có khoảng 80 ngàn máy ATM của Nautilus đã bị tấn công trước khi kịp vá các lỗ hổng.

Các cuộc tấn công jackpotting thành công là rất hiếm nhưng không phải không có. Trong vài năm gần đây, hacker đã sử dụng kỹ thuật này nhiều hơn. Hồi năm 2017, một nhóm hacker sử dụng kỹ thuật jackpotting đã bị phát hiện tại Châu Âu và số tiền đã bị chúng lấy đi lên tới hàng triệu euro.

Gần đây nhất, hacker thậm chí còn đánh cắp cả phần mềm độc quyền từ các nhà sản xuất máy ATM để xây dựng công cụ giải mã jackpotting.

Tham khảo Techcrunch

Thiên Long

Tri thức trẻ

Cùng chuyên mục
XEM

NỔI BẬT TRANG CHỦ

Giữa thời Covid, doanh số bán hàng hiệu của ông Johnathan Hạnh Nguyễn tăng trưởng 15%, có 2.000 tỷ đồng dự phòng chưa dùng đến

Do đó, ông Johnathan Hạnh Nguyễn cho rằng các chính sách, ngân sách cứu trợ nên tập trung cho những đối tượng khó khăn, thay vì chia đều.

Công ty đứng sau 'Among Us': Chỉ có 3 người, đạt 86,6 triệu lượt tải, thu về 3,2 triệu USD từ bán trang bị!

Ngày 25/9, số lượng người chơi cùng lúc trên toàn thế giới đã đạt hơn 3,5 triệu.

Không hiểu gì về chứng khoán, fan bất chấp vay ngân hàng, xin tiền bố mẹ mua cổ phiếu ủng hộ công ty chủ quản BTS

Đội quân các A.R.M.Y tìm đủ mọi cách để mua được dù chỉ 1 cổ phiếu công ty quản lý BTS để có thể gặp thần tượng trong đại hội đồng cổ đông.

Dịch vụ khám bệnh gấp 5-10 lần bệnh viện công, hầu hết các bệnh viện tư nhân ở Việt Nam đều lãi gấp đôi chỉ sau vài ba năm

Số liệu của Business Monitor International cho biết số tiền chi cho sức khoẻ tại Việt Nam năm 2017 ước khoảng 16,1 tỷ USD, chiếm 7,5% GDP, ước đến năm 2021 con số này sẽ tăng lên khoảng 22,7 tỷ USD khi người dân có ý thức nhiều hơn trong việc chăm sóc sức khoẻ.

Đọc thêm