Pankkiautomaattien turvallisuus huolettaa monia, varsinkin korttien skimmauksen noustessa uutisaiheeksi. Useimmat käteisautomaatit ovatkin hakkeroitavissa alle 20 minuutissa.
Pankkien turvallisuuteen erikoistuneen Positive Technologiesin asiantuntijat testasivat NCR:n, Diebold Nixdorfin ja GRGBankingin valmistamia käteisautomaatteja, kirjoittaa ZDNet.
NCR:n ja Diebold Nixdorfin laitteita käytetään myös Suomessa Ottopisteiden automaatteina, ilmenee Oton verkkosivuilta.
Kokeissa testattiin tyypillisiä kyberrikollisten käyttämiä hyökkäystekniikoita, joilla pyrittiin joko saamaan rahaa automaatin säilöstä tai kopioimaan automaattia käyttäneiden ihmisten pankkikorttitiedot, jota myös skimmaukseksi kutsutaan.
85 prosentissa testitapauksista hyökkääjät pääsivät tunkeutumaan automaatin käyttämään verkkoon.
Jopa 58 prosentissa automaateista oli haavoittuvuus, jonka kautta hyökkääjät pääsivät kontrolloimaan automaattia etäyhteydellä. Tyypillinen verkkohyökkäys vei testissä alle 15 minuuttia.
13:26
Nopein tapa hakkeroida automaatti oli kuitenkin niin sanottu black box -hyökkäys, jossa laitteen sisään tunkeudutaan joko poralla tai purkamalla kotelo.
Automaatin tietokoneen ja käteissäiliön väliin asennetaan mustaksi laatikoksi kutsuttu lisätyökalu, jonka avulla automaattia voi käskyttää suoltamaan rahaa pyydettäessä.
Black box -hyökkäys toimi 69 prosentissa testatuista laitteista ja sen suorittamiseen kului aikaa alle 10 minuuttia.
Toiminnaltaan varmimmaksi keinoksi osoittautui automaatin sisäisen kovalevyn ohittaminen ja järjestelmän käynnistäminen ulkoiselta asemalta.
Tempun mahdollisti se, että laitteissa ei ollut lainkaan bios-salasanaa tai se oli helppo arvata, eikä niiden kovalevyn dataa oltu salattu. Näin automaatin sisäistä kovalevyä voitiin manipuloida siten, että rahan nostaminen tai korttien skimmaus oli mahdollista.
Kovalevyn ohittaminen toimi 92 prosentille testatuista automaateista ja sen suorittamiseen kului 20 minuuttia.
Pankit käyttävät samanlaisia automaatteja – hyökkäysten skaalaus helppoa
Kenties masentavin tutkimuksessa pajastunut tieto liittyi siihen, miten automaatit siirtävät kortin tiedot kortinlukijasta laitteen järjestelmään ja sieltä edelleen pankkiin.
Tutkijat pystyivät tunkeutumaan tiedonkulkuun ”vain” 58 prosentissa testilaitteista, mutta tämän jälkeen hyökkäyksen toimintavarmuus oli tasan 100 prosenttia. Hommassa meni aikaa alle 15 minuuttia.
– Useimmiten käteisautomaattien turvatoimet ovat hakkereille lähinnä ärsyttäviä, ja niiden ohittaminen onnistuu lähes aina, tutkijatiimi summasi kokemuksiaan.
Koska pankit käyttävät laajalti samanlaisia automaatteja, hyökkäysten skaalaus suureen määrään automaatteja vaikuttaa myös helpolta.