Arnaques : Alerte au jackpotting qui vide les distributeurs automatiques de billets

Arnaques: La technique du jackpotting vide les distributeurs automatiques de billets

Les voleurs vident les guichets automatiques en utilisant une nouvelle forme de jackpot

La nouvelle attaque basée sur le matériel, qui a ciblé des machines à travers l’Europe, peut générer un flux d’argent pour l’attaquant.

Mise en garde : Alerte au jackpotting

Mise en garde : Alerte et arnaques au jackpotting

DIEBOLD NIXDORF, QUI a réalisé 3,3 milliards de dollars grâce aux ventes et au service des guichets automatiques l’année dernière, met en garde les magasins, les banques et les autres clients contre une nouvelle forme de « jackpotting » basée sur le matériel, le terme industriel désignant les attaques que les voleurs utilisent pour vider rapidement les guichets automatiques.
Cette histoire est ainsi apparue à l’origine sur Ars Technica, une source fiable d’actualités technologiques, d’analyses de politiques technologiques, de critiques, etc. Ars appartient à la société mère de WIRED, Condé Nast.

40 billets en 23 secondes

40 billets en 23 secondes

La nouvelle variante utilise un appareil qui exécute des parties de la pile logicielle propriétaire de l’entreprise. Les attaquants connectent ensuite l’appareil aux composants internes du guichet automatique et émettent des commandes. Les attaques réussies peuvent entraîner un flux d’argent liquide, parfois distribué aussi rapidement que 40 billets toutes les 23 secondes. Les appareils sont attachés soit en accédant à une clé qui déverrouille le châssis du guichet automatique, soit en perçant des trous ou en brisant les verrous physiques pour accéder aux composants internes de la machine.

ATM : Le système d'exploitation victime du jackpotting

ATM : Le système d’exploitation victime du jackpotting

Lors des précédentes attaques de jackpot, les appareils connectés, connus dans l’industrie sous le nom de boîtes noires, invoquaient généralement les interfaces de programmation contenues dans le système d’exploitation ATM pour canaliser les commandes qui atteignaient finalement le composant matériel qui distribue l’argent. Plus récemment, Diebold Nixdorf a observé une série d’attaques par boîte noire incorporant des parties du logiciel propriétaire de l’entreprise.

Les boites noires défaillantes

Les boites noires défaillantes

« Certaines des attaques réussies montrent un nouveau modus operandi adapté sur la façon dont l’attaque est effectuée ». A averti Diebold Nixdorf dans une alerte de sécurité active. Celle-ci a été émise la semaine dernière par un représentant de l’entreprise. « Le fraudeur connecte toujours un appareil externe. À ce stade de nos enquêtes, il semble que cet appareil contient également des parties de la pile logicielle du guichet automatique attaqué. »

En général, le jackpot fait référence à une catégorie d’attaques visant à distribuer de l’argent d’un guichet automatique de manière illégitime. La variante boîte noire du jackpot n’utilise pas la pile logicielle du guichet automatique pour distribuer de l’argent à partir du terminal. Au lieu de cela, le fraudeur connecte son propre appareil, la « boîte noire ». Ciblant ainsi directement la communication vers l’appareil de traitement des espèces.

Les attaquants se concentrent sur les systèmes extérieurs

Les attaquants se concentrent sur les systèmes extérieurs

Lors des récents incidents, les attaquants se concentrent sur les systèmes extérieurs détruisant des parties du fascia afin d’accéder physiquement au compartiment principal. Ensuite, le câble USB entre le distributeur CMD-V4 et l’électronique spéciale, ou le câble entre l’électronique spéciale et le PC ATM, se débranche. Ce câble connecté à la boîte noire de l’attaquant envoie des commandes de distribution illégitimes.

Certains incidents indiquent néanmoins, que la boîte noire contient des parties individuelles de la pile logicielle du guichet automatique attaqué par le jackpotting. L’enquête sur la façon dont ces pièces ont été obtenues par le fraudeur est en cours. Une possibilité pourrait être via une attaque hors ligne contre un disque dur non chiffré.

La technique du jackpotting

La technique du jackpotting

Bruno Oliveira, un expert en sécurité des guichets automatiques a d’ailleurs déclaré « avoir entendu parler de la forme antérieure d’attaque de ces arnaques par boîte noire ». L’appareil connecté manipule les API incluses dans les extensions de système d’exploitation telles que XFS ou CFS. Ces systèmes communiquent avec des serveurs distants exploités par des institutions financières. Les boîtes noires, qui imitent le PC interne d’un guichet automatique, peuvent être : Soit des ordinateurs portables, soit du matériel Raspberry ou Arduino assez facile à construire, a déclaré Oliveira. Les boîtes noires sont l’une des quatre techniques de jackpot que Diebold Nixdorf décrit ici.

Le jackpot du jackpotting

Arnaques : Le jackpot du jackpotting

Dans certains cas, les appareils connectés se connectent directement au distributeur de billets. Ils émettent des commandes pour qu’il recrache de l’argent. L’autre forme d’attaque par boîte noire se branche sur les câbles réseau. Elle enregistre les informations du titulaire de la carte lorsqu’elles sont relayées entre le guichet automatique et le centre de transaction qui traite la session. L’appareil connecté modifie ensuite les montants de retrait maximum autorisés ou se fait passer pour le système hôte. Ce qui permet au guichet automatique de distribuer de grosses sommes d’argent.

Plusieurs techniques comme le phishing

Plusieurs techniques d’arnaques comme le phishing

La brochure jackpotting ci-dessus décrit ainsi deux autres types d’attaques. Le premier échange le disque dur légitime avec celui créé par les attaquants. L’autre utilise des attaques de phishing contre des employés de banque. Une fois que les attaquants ont obtenu l’accès au réseau d’une institution financière… Ils émettent des commandes qui infectent les guichets automatiques. Ceci au moyen des logiciels malveillants utilisés pour nettoyer les machines.

De bonnes nouvelles mais également de mauvaises

De bonnes nouvelles mais également de mauvaises

La nouvelle variante d’attaque décrite par Diebold est à la fois une bonne et une mauvaise nouvelle pour les consommateurs. D’une part, rien n’indique que les voleurs utilisent leur pile logicielle récemment acquise pour voler les données de la carte. La mauvaise nouvelle est que les attaquants semblent avoir mis la main sur des logiciels propriétaires. Ceux-ci rendent les attaques de jackpotting plus efficaces. L’augmentation récente des jackpots réussis entraîne finalement des frais plus élevés. Les institutions financières répercutent effectivement les coûts causés par les pertes. Diebold a publié une variété de défenses que les propriétaires de guichets automatiques peuvent prendre pour se protéger contre les attaques.

Les utilisateurs désarmés

Les utilisateurs désarmés

Les utilisateurs de guichets automatiques ne peuvent pas faire grand-chose pour empêcher le jackpotting. Néanmoins, il est important de n’utiliser que les guichets automatiques appartenant aux grandes banques et d’éviter ceux des entreprises familiales. C’est aussi une bonne idée de protéger le clavier lors de la saisie des codes PIN. Mais également de vérifier les relevés bancaires chaque mois à la recherche de toute transaction non autorisée.