En el reciente Chaos Communication Congress, investigadores han dado a conocer cómo atacantes vulneran cajeros automáticos para poder extraer todo el dinero que deseen. El ilícito se lleva a cabo gracias a un dispositivo de almacenamiento USB con contenido malicioso y gran conocimiento de la plataforma atacada.

Tiempo atrás, el investigador en seguridad informática neozelandés Barnaby Jack demostró cómo vulnerar cajeros automáticos de forma tal que pueda extraerse todo el dinero que se quisiera.  Desde entonces, el procedimiento es llamado jackpotting en su honor. Pues bien, recientemente en una de las charlas de la 30° edición del Chaos Communication Congress en Hamburgo, Alemania, se han presentado pruebas fehacientes de cómo los atacantes llevan a cabo este procedimiento para efectuar extracciones de dinero sin siquiera contar con una tarjeta de crédito o débito.

Todo empieza con un dispositivo USB

El procedimiento comienza cuando un atacante ingresa a un cajero automático como cualquier otro cliente. Una vez frente a él, buscará acceder al puerto USB que conecta el equipo que posee el cajero (similar a cualquier computadora de escritorio) con la impresora de tickets que este posee. Para lograr su cometido, cortará el frente del cajero en la parte específica donde se encuentra el puerto.

Una vez visible su objetivo, conectará un dispositivo de almacenamiento USB preparado específicamente para el ataque. En el caso demostrado, el dispositivo era booteable y contenía una versión pequeña de Windows XP, con herramientas y malware para llevar a cabo su cometido sin problemas. Para comenzar la infección, deberá forzar el reinicio del cajero automático (puede lograrse desconectando su interfaz de red, por ejemplo). El malware proveerá al cajero de una nueva interfaz de usuario, accesible a través de una combinación de teclas.

Un cajero infectado se comporta de la misma manera que uno normal, con un agregado: presionar una combinación de teclas (en este caso, “000507607999”) hará que se inicie la nueva interfaz de operación sobre la habitual, con opciones de extracción directas, y mostrando la cantidad de billetes disponible de acuerdo a su denominación.

Seleccionada una extracción, será necesario ingresar un nuevo código, esta vez provisto por el desarrollador del malware utilizado. De acuerdo a los investigadores, en filmaciones bancarias se pudo percibir como los atacantes realizaban llamadas telefónicas para obtener dicho código. Una vez ingresado, la extracción se llevará a cabo de forma instantánea.

Posteriormente, al no utilizar la interfaz de operación provista por el malware durante más de 3 minutos hará que el cajero quede fuera de servicio. Además, así como se puede utilizar una combinación de teclas para acceder a esta, otra combinación hace posible su desinstalación.

Podemos concluir que el ataque llevado a cabo requiere de un gran conocimiento de la plataforma a atacar, porque no solo es necesario conocer dónde ingresar el dispositivo de almacenamiento, sino también desarrollar el malware “a medida” para ese cajero automático en particular.

Los investigadores finalizaron su charla con la siguiente frase: “Así que, la próxima vez que extraigan dinero de un cajero automático, utilicen la combinación de teclas y asegúrense de que no se encuentra vulnerado. Si lo está, entonces ingresen '000507607999000753951000', porque esto desinstalará el malware”.