Hackers forçam caixas eletrônicos a liberar dinheiro usando SMS
Está cada vez mais fácil hackear caixas eletrônicos hoje em dia, e pesquisadores de segurança dizem que o idoso Windows XP só piora o problema. Esta semana, analistas de segurança da Symantec falam sobre uma nova técnica que surgiu no México: hackers usam mensagens de texto para controlar caixas eletrônicos.
Primeiro, é preciso instalar um malware chamado Ploutus no caixa. Para isto, o ladrão precisa abrir fisicamente o gabinete – ou até mesmo furar um buraco – para acessar a entrada USB, e usar um pendrive infectado nele.
Antigamente, esse tipo de ataque exigia um teclado externo para quebrar o sistema de segurança do caixa eletrônico. Agora, no entanto, você pode simplesmente plugar um celular via USB e enviar uma mensagem de texto para o telefone. O celular converte o texto em um pacote de rede, que obriga o caixa eletrônico a cuspir dinheiro.
Você não precisa conectar o celular toda vez que for ao caixa: basta deixá-lo lá dentro. Isso permite que os hackers realizem ataques múltiplos: mande uma pessoa para o caixa, envie a mensagem de texto, e a pessoa irá recolher o dinheiro liberado. E os hackers podem fazer o truque quantas vezes quiserem – afinal, o cabo USB também carrega a bateria do celular.
Como aponta a Symantec em seu blog, tudo isto é facilitado pelo fato de 95% dos ATMs rodarem Windows XP, sistema que a Microsoft está prestes a abandonar. Ou seja, a empresa não fará mais atualizações de segurança para ele. Isso facilitará ainda mais o desenvolvimento de malware e outras técnicas para quebrar a segurança das máquinas.
Por isso, a Symantec recomenda algumas medidas: atualizar os caixas para Windows 7 ou 8; monitorá-los com circuito de TV interno; trancar a BIOS para não permitir acesso de pendrives não-autorizados; ou criptografar todo o disco.
No ano passado, os caixas eletrônicos de “um banco europeu não nomeado” sofreram ataques: bastou usar um pendrive infectado e inserir um código de 12 dígitos no teclado numérico. Casos como este também já aconteceram no Brasil: no final de 2012, três homens foram presos após roubarem caixas eletrônicos usando teclado e pendrive. [Symantec]
Imagem por AP Photo/Daniel Ochoa de Olza