Ladrões instalam malware em caixas eletrônicos para fazê-los cuspir dinheiro
Nós já vimos por aqui os diversos truques empregados por ladrões de caixa eletrônico: às vezes eles usam pendrives infectados; às vezes, um celular e SMS; e às vezes vão bem mais longe. Agora, temos um malware que faz os caixas simplesmente cuspirem dinheiro.
A Interpol e a empresa de segurança Kaspersky anunciaram que criminosos começaram a instalar um malware conhecido como Tyupkin em caixas eletrônicos. Ele permite que uma pessoa gere códigos que mudam numa base rotativa, e são fornecidos para seus parceiros. Com esse código em mãos, é possível sacar dinheiro do caixa eletrônico.
Vicente Diaz, pesquisador de segurança da Kaspersky Lab, explica:
O ladrão recebe, por telefone, instruções de outro membro da gangue que conhece o algoritmo e é capaz de gerar uma chave de sessão com base no número mostrado. Isto garante que o bandido que coleta o dinheiro não tente agir sozinho.
O hack permite que os ladrões verifiquem quanto dinheiro está no caixa eletrônico, e depois liberem até 40 notas de uma só vez. Para não ser detectado, o malware só funciona nas noites de domingo e segunda-feira.
Por enquanto, descobriu-se que 50 caixas foram afetados no Leste Europeu, mas há relatos de que o malware esteve ativo nos EUA, Índia e China. Da Kaspersky:
Ao longo dos últimos anos, observamos uma grande ascensão em ataques a caixas eletrônicos usando dispositivos de clonagem de cartão e software malicioso…
Agora estamos vendo a evolução natural desta ameaça: cibercriminosos subiram na cadeia e miram diretamente as instituições financeiras. Isto é feito ao se infectar caixas eletrônicos de forma direta, ou ao realizar ataques diretos ao estilo APT contra o banco. O malware Tyupkin é um exemplo de hackers subindo na cadeia e encontrando pontos fracos na infraestrutura do caixa eletrônico.
Ao contrário da clonagem de cartão e outros hacks que visam a sua conta bancária, este malware simplesmente faz com que o caixa eletrônico cuspa dinheiro – isso não fica associado à conta de ninguém. No entanto, alguém sempre acaba pagando por esse dinheiro roubado. [Kaspersky via Ars Technica]
Imagem: Catatronic