Зарубіжний експерт в питаннях кібербезпеки показав, як можна легко і просто зламати будь-який банкомат, використовуючи для цього спеціально написану програму для Android. Шляхом обходу протоколів безпеки умілець зміг змусити банкомат перезавантажитися, вислати дані про кредитні картки користувачів і навіть видати готівку.
Подробиці інциденту
Цією непростою справою зайнявся віддалений співробітник компанії «IOActive» Хосе Родрігес. Експерт уважно вивчив систему роботи банкоматів, після чого зрозумів, що велика частина цих машин «має на озброєнні» застарілу систему електронного захисту, яку можна досить легко обійти. Щоб це зробити, фахівець написав простеньку програму для телефону Android, яка імітує відправку даних на зчитувач NFC-карток. Така опція встановлена практично на всіх сучасних банкоматах, вона дозволяє проводити операції з карткою, не розміщуючи її в зчитувач, лише підносячи телефон або картку до консолі.
Написана Родрігесом програма використовує той же протокол, за допомогою якого NFC-сканер зчитує дані з картки або телефону. Зазвичай для цього з телефону або карти відправляється APDU-сигнал, що містить дані користувача. Софт фахівця імітує цю інформацію, проте містить потік цифр, які перезавантажують буфер обміну даними банкомату і дають іншу команду пристрою. За допомогою цієї програми можна:
- скачати дані карток, які вставлялися в банкомат раніше;
- змінювати суми в фінансових операціях;
- перезавантажувати апарат.
Родрігес використовував свою розробку на кількох моделях банкоматів, з одним з них вийшло навіть зняти готівку.