08/10/2014 22:01 GMT+7

Cài mã độc "rút" hàng triệu USD từ máy ATM

THANH TRỰC
THANH TRỰC

TTO - Một loại mã độc được thiết kế chuyên tấn công các máy ATM không cần đến thẻ, giúp tội phạm mạng cuỗm hàng triệu USD tại nhiều nước.

Rút tiền mặt tại máy ATM - Ảnh minh họa: heraldsun.com.au
Rút tiền mặt tại máy ATM - Ảnh minh họa: heraldsun.com.au

Thông điệp cảnh báo về loại mã độc mang tên Tyupkin đã được Công ty Kaspersky Lab và Interpol chuyển đến đến các nước bị ảnh hưởng và tiếp tục hỗ trợ cuộc điều tra đang diễn ra.

Các chuyên gia của Kaspersky Lab đã thực hiện một cuộc điều tra sau đợt tấn công của tội phạm mạng nhắm mục tiêu vào nhiều máy ATM trên toàn thế giới.

Trong quá trình điều tra, các nhà nghiên cứu phát hiện một phần mềm độc hại lây nhiễm các máy ATM, cho phép những kẻ tấn công lấy cắp hàng triệu đô la.

Điều đặc biệt là bọn tội phạm mạng chỉ hoạt động vào Chủ nhật và thứ Hai, với thao tác kết hợp các chữ số trên bàn phím máy ATM mà không cần đưa thẻ tín dụng vào khe đọc thẻ. 

Sau đó, chúng gọi điện để được hướng dẫn thêm từ một kẻ điều hành, và cuối cùng, chúng nhập một tập hợp các con số và các máy ATM bắt đầu cho ra tiền. Rất nhiều tiền mặt!

Trong vài năm trở lại đây, chúng ta đã quan sát thấy xu hướng đi lên của các cuộc tấn công máy ATM sử dụng các thiết bị cà/quẹt và phần mềm độc hại. Bây giờ chúng ta lại chứng kiến sự leo thang của mối đe dọa này với bọn tội phạm ngày càng tinh vi và nhắm mục tiêu trực tiếp vào các tổ chức tài chính. Phần mềm độc hại Tyupkin là một minh chứng cho những kẻ tấn công lợi dụng những yếu kém trong cơ sở hạ tầng ATM

Vicente Diaz, Nhà nghiên cứu bảo mật chính tại Kaspersky Lab nhận định.

Bên cạnh đó, Sanjay Virmani, Giám đốc trung tâm tội phạm kỹ thuật số của INTERPOL nhận xét: “Bọn tội phạm mạng liên tục tìm ra những cách thức mới để phát triển phương pháp phạm tội của chúng. Chúng tôi vẫn thực thi pháp luật ở các nước thành viên cũng như thông báo cho họ biết về các xu hướng hiện tại.”

Theo yêu cầu của một tổ chức tài chính, nhóm nghiên cứu toàn cầu của Kaspersky Lab đã thực hiện một cuộc điều tra về hình thức tấn công này của tội phạm mạng. Phần mềm độc hại được xác định và đặt tên bởi Kaspersky Lab là Backdoor.MSIL.Tyupkin.

Mã độc Tyupkin hoạt động như một chương trình mở cửa sau trên các hệ thống máy rút tiền tự động ATM dùng hệ điều hành Windows 32-bit. Nó cần phải được "lây nhiễm" trực tiếp (tác động vật lý) qua đĩa CD khởi động vào hệ thống máy ATM. Theo các chuyên gia an ninh, nó đã hoành hành vài tháng qua, lây nhiễm vào những máy ATM tại châu Á, châu Âu và châu Mỹ Latinh.

Bản đồ ghi dấu vết mã độc Tyupkin - Ảnh: Kaspersky Lab
Bản đồ ghi dấu vết mã độc Tyupkin - Ảnh: Kaspersky Lab

Máy ATM bị mã độc "rút tiền" như thế nào?

Bọn tội phạm hoạt động theo hai giai đoạn, đầu tiên, chúng tiếp cận các máy ATM và chèn một đĩa CD để cài đặt phần mềm độc hại, có tên là Tyupkin (tên được đặt bởi Kaspersky Lab). Sau khi khởi động lại hệ thống, các máy ATM xem như đã bị nhiễm độc và dưới quyền kiểm soát của chúng. 

Khi lây nhiễm thành công, phần mềm độc hại này chạy trong một vòng lặp vô hạn chờ lệnh. 

Để việc lừa đảo khó bị phát hiện, phần mềm Tuynkin chỉ chấp nhận lệnh tại một thời điểm cụ thể là đêm Chủ nhật và Thứ hai. Trong thời gian vài giờ, những kẻ tấn công có thể ăn cắp tiền từ các máy bị nhiễm.

Quy trình tấn công
Quy trình tấn công "rút tiền chùa" từ máy ATM của tội phạm mạng - Ảnh: Kaspersky

Các đoạn băng thu được từ camera an ninh tại các máy ATM bị nhiễm cho thấy phương pháp được sử dụng để lấy tiền mặt từ máy. Một tổ hợp phím duy nhất dựa trên các số ngẫu nhiên được tạo mới cho mỗi phiên đăng nhập. Điều này đảm bảo rằng không có người ngoài băng nhóm có thể thu lợi nhuận từ việc gian lận.

Các bước tiếp theo khá tinh vi, một trong các thành viên băng tội phạm mạng sẽ tạo ra thuật toán và một mã số dựa trên số liệu đã cung cấp.

Nếu mã được nhập chính xác, các máy ATM hiển thị chi tiết trong máy đang có sẵn bao nhiêu tiền mặt trong từng ngăn chứa tiền. Tội phạm mạng chỉ cần chọn số tiền cần lấy. Sau đó, máy ATM sẽ cung cấp đủ 40 tờ tiền mặt từ mỗi ngăn được chọn.

Đáng lo hơn, chúng có thể lặp lại thao tác "rút tiền" này nhiều lần.

Đoạn video về cách tấn công hoạt động trên một máy ATM như thế nào - Nguồn: YouTube/Kaspersky

Làm thế nào để các ngân hàng giảm thiểu rủi ro?

1. Xem xét lại chất lượng an ninh của máy ATM của họ và xem xét đầu tư vào các giải pháp bảo mật.

2. Thay thế tất cả các ổ khóa cũng như master keys trên khe nhận thẻ của các máy ATM, và các khóa mặc định được cung cấp bởi nhà sản xuất máy ATM.

3. Cài đặt chuông báo động và đảm bảo nó làm việc tốt. Bọn tội phạm mạng đứng sau Tyupkin chỉ lây nhiễm máy ATM không có báo động an ninh.

4. Thay đổi mật khẩu mặc định của BIOS.

5. Đảm bảo máy ATM có các phiên bản bảo vệ chống virus mới nhất.

Chúng tôi khuyến cáo các ngân hàng xem xét lại chất lượng an ninh tại các máy ATM, cơ sở hạ tầng mạng và xem xét đầu tư vào các giải pháp bảo mật chất lượng

Vicente Diaz, Nhà nghiên cứu bảo mật tại Kaspersky Lab

Để được tư vấn về cách kiểm tra các máy ATM hiện có bị lây nhiễm hay không, hãy liên hệ trực tiếp tại intelreports@kaspersky.com. Ngoài ra, để quét toàn bộ hệ thống máy ATM và xóa các backdoor hãy sử dụng Kaspersky Virus Removal Tool miễn phí.

* Xem phân tích kỹ thuật về mã độc Tyupkin tại đây.

THANH TRỰC
Trở thành người đầu tiên tặng sao cho bài viết 0 0 0
Bình luận (0)
thông tin tài khoản
Được quan tâm nhất Mới nhất Tặng sao cho thành viên