ATM rút tiền hàng ngày không an toàn như bạn nghĩ

ATM rút tiền hàng ngày không an toàn như bạn nghĩ

Minh Thu
 
Hầu hết ATM trên thế giới đều có thể bị truy cập trái phép và trục lợi với sự giúp đỡ hoặc thậm chí không cần đến phần mềm độc hại.
Theo nghiên cứu do chuyên gia Kaspersky Lab thực hiện, tình trạng này xảy ra là do việc sử dụng rộng rãi phần mềm không an toàn và lỗi thời, lỗi cấu hình mạng và thiếu an toàn vật lý ở nhiều phần quan trọng của ATM.
 
Mối đe dọa lớn nhất với người dùng và chủ thẻ ATM trong nhiều năm từng là skimmer - thiết bị đặc biệt được gắn vào ATM để đánh cắp dữ liệu từ thẻ ngân hàng. Nhưng khi có thêm thủ thuật độc hại, ATM gặp nhiều nguy hiểm hơn.
 
ATM rút tiền hàng ngày không an toàn như bạn nghĩ, đây thực chất là miếng mồi ngon lành cho hacker - Ảnh 1.

Trong năm 2014, các nhà nghiên cứu tại Kaspersky Lab phát hiện Tyupkin - một trong những ví dụ điển hình về phần mềm độc hại sử dụng cho ATM được nhiều người biết đến và năm 2015, chuyên gia của công ty đã vạch trần băng đảng Carbanak, có khả năng trục lợi từ ATM thông qua cơ sở hạ tầng yếu kém của ngân hàng.

Tấn công xảy ra là nhờ vào khai thác nhiều điểm yếu thường gặp trong công nghệ ATM và cơ sở hạ tầng hỗ trợ chúng. Và đây chỉ là bề nổi của tảng băng.

Trong nỗ lực tìm ra tất cả vấn đề về bảo mật của ATM, chuyên gia thử nghiệm xâm nhập tại Kaspersky Lab đã thực hiện nghiên cứu trên các cuộc tấn công thực và kết quả đánh giá bảo mật tại một số ngân hàng quốc tế.

Những vấn đề về phần mềm

Sau khi nghiên cứu, các chuyên gia đã chứng minh rằng tấn công bằng phần mềm độc hại vào ATM xảy ra là do 2 vấn đề bảo mật chính:

Tất cả ATM là máy tính chạy trên hệ điều hành phiên bản cũ như Windows XP. Điều này khiến chúng dễ bị tấn công bằng phần mềm độc hại và bị khai thác. Trong phần lớn trường hợp, phần mềm đặc biệt cho phép PC tương tác với hệ thống ngân hàng và phần cứng, xử lý tiền mặt và thẻ tín dụng, dựa trên chuẩn XFS.

Đây là một đặc điểm kỹ thuật công nghệ khá cũ và không an toàn, ban đầu được tạo ra để tiêu chuẩn hóa các phần mềm máy ATM, để nó có thể làm việc trên bất kỳ thiết bị của bất kì nhà sản xuất nào.

ATM rút tiền hàng ngày không an toàn như bạn nghĩ, đây thực chất là miếng mồi ngon lành cho hacker - Ảnh 2.

Vấn đề là đặc điểm kỹ thuật của XFS không đòi hỏi ủy quyền cho các lệnh nó xử lý, có nghĩa là bất kỳ ứng dụng được cài đặt máy ATM đều có thể ra lệnh cho bất kỳ đơn vị phần cứng khác, bao gồm cả đầu đọc thẻ và máy rút tiền.

Nhờ đó phần mềm độc hại lây nhiễm thành công máy ATM, nhận được khả năng gần như không giới hạn về kiểm soát ATM: nó có thể biến phím nhập PIN và đầu đọc thẻ vào một skimmer "bản địa" hay chỉ là lấy toàn bộ số tiền được lưu trữ trong các máy ATM theo lệnh của hacker.

An toàn vật lý

Trong nhiều trường hợp được các nhà nghiên cứu tại Kaspersky Lab ghi nhận, tội phạm mạng không cần dùng phần mềm độc hại để lây nhiễm ATM hoặc mạng lưới ngân hàng của nó. Nguyên nhân là do bản thân máy ATM thiếu an toàn vật lý - vấn đề thường gặp ở thiết bị này. ATM thường được xây dựng và cài đặt theo cách mà bên thứ 3 dễ dàng xâm nhập vào máy tính của ATM hoặc cáp mạng kết nối máy với Internet. Bằng cách đạt được quyền truy cập vào ATM, tội phạm mạng có thể:

- Cài đặt máy vi tính đặc biệt được lập trình (gọi là hộp đen) bên trong máy ATM, cung cấp cho những kẻ tấn công truy cập từ xa vào máy ATM;

- Kết nối ATM đến trung tâm xử lý giả mạo.

ATM rút tiền hàng ngày không an toàn như bạn nghĩ, đây thực chất là miếng mồi ngon lành cho hacker - Ảnh 3.

Trung tâm xử lý giả mạo là máy chủ thực hiện dữ liệu thanh toán và giống hệt với máy chủ của ngân hàng mặc dù thực tế nó không thuộc về ngân hàng. Một khi máy ATM được kết nối với một trung tâm xử lý giả mạo, những kẻ tấn công có thể phát hành bất kỳ lệnh mà chúng muốn. Và máy ATM sẽ tuân theo.

Có thể bảo vệ kết nối giữa ATM và trung tâm xử lý bằng nhiều cách. Chẳng hạn như sử dụng phần cứng hoặc phần mềm mã hóa VPN, SSL/TLS, tường lửa hoặc xác thực MAC được thực hiện trong giao thức xDC. Tuy nhiên, những biện pháp này không thường được sử dụng, tội phạm mạng không cần phải giả mạo phần cứng, chúng chỉ cần khai thác những điểm thiếu an toàn trong mạng lưới liên lạc giữa máy ATM và hệ thống ngân hàng.

Cách ngăn chặn việc trục lợi từ ATM

Olga Kochetova, Chuyên gia bảo mật, bộ phận Kiểm tra Xâm nhập, Kaspersky Lab cho biết:

"Kết quả nghiên cứu cho thấy cho dù nhà cung cấp có cố gắng phát triển máy ATM với nhiều chức năng có tính bảo mật cao thì nhiều ngân hàng vẫn sử dụng mô hình thiết bị cũ thiếu an toàn và việc này khiến họ thiếu chuẩn bị khi tội phạm mạng đe dọa sự an toàn thiết bị của họ.

Đây chính là thực tế ngày nay khiến nhiều ngân hàng và khách hàng của họ chịu tổn thất tài chính to lớn. Theo quan điểm của chúng tôi, đây là kết quả của quan niệm sai lầm trong thời gian dài rằng tội phạm mạng chỉ hứng thú với Internet banking. Đúng là chúng hứng thú với các cuộc tấn công này nhưng ngày càng thấy giá trị từ điểm yếu ATM vì tấn công trực tiếp vào thiết bị có thể rút ngắn đường đi của tiền thật".

ATM rút tiền hàng ngày không an toàn như bạn nghĩ, đây thực chất là miếng mồi ngon lành cho hacker - Ảnh 4.

Mặc dù những vấn đề bảo mật được liệt kê ở trên có khả năng ảnh hưởng rất nhiều đến máy ATM trên khắp thế giới nhưng không có nghĩa tình trạng này không thể thay đổi. Nhà sản xuất máy ATM có thể giảm nguy cơ tấn công vào máy rút tiền bằng cách áp dụng các biện pháp sau:

- Đầu tiên là xem xét lại tiêu chuẩn XFS, tập trung vào sự an toàn và đưa xác thực 2 yếu tố giữa thiết bị và phần mềm hợp pháp. Việc này sẽ giúp giảm khả năng rút tiền trái phép bằng trojan và đoạt quyền kiểm soát trực tiếp trên máy ATM của kẻ tấn công.

- Thứ hai, thực hiện "authenticated dispensing" để loại bỏ khả năng tấn công qua trung tâm xử lý giả mạo.

- Thứ ba, thực hiện bảo vệ mật mã và kiểm soát toàn vẹn trên dữ liệu được truyền giữa các đơn vị phần cứng và máy tính bên trong máy ATM.

Theo GenK / Trí Thức Trẻ


  • Air 360
Pose.com.vn
Ý kiến bạn đọc

BÀI LIÊN QUAN

Một công ty tại London, Anh hiện đang tuyển dụng chuyên gia viết đánh giá các sản phẩm đồ chơi người lớn. Với công việc khá nhẹ nhàng này, ứng viên được trả tận 825 triệu/năm và nhiều ưu đãi khác.
Giới nhà giàu Hong Kong chẳng còn xa lạ gì với cái tên Cecil Chao.
"Sợ" vợ là khái niệm không chỉ đàn ông có vợ mới biết, mà nó phổ biến đến nỗi thành câu cửa miệng của nhiều người. Liệu chúng ta đã thật sự hiểu tác dụng của việc sợ vợ hay chưa?
Trong đám cưới, không những được nhận vàng, trang sức mà gia đình 2 bên đã trao cho cô dâu và chú rể 1 xe ô tô, 1 căn biệt thự 3 tầng và nhiều tài sản có giá trị khác.
Mới đây, một cô gái người Sài Gòn đã bỏ số tiền 2 tỷ 400 triệu đồng để mua siêu xe tặng cho chồng, khiến dân mạng, nhất là cánh mày râu phải trầm trồ, ghen tị.
Mới đây, một nhóm khách du lịch người Việt đã xuất hiện trên một trang tin lớn của Đài Loan cùng nhiều chỉ trích về hành vi "tiểu bậy nơi công cộng"
LeeAng Perry đã 24 tuổi nhưng chưa từng có mối tình vắt vai vì thân hình mập mạp, kém sắc.
Kaylee Moats là một cô gái 22 tuổi sống tại thành phố Gilbert, bang Arizona, Mỹ. Cô hiện có một tình yêu đẹp với bạn trai, cùng một gia đình ấm êm hạnh phúc bên cạnh bố mẹ. Nhưng bên trong cơ thể của cô gái này ẩn giấu một bí mật...
Thử thách Cá voi xanh hiện đang là trào lưu tự sát đầy nguy hiểm, cảnh báo các bậc phụ huynh cần phải cẩn trọng và hiểu rõ về "độc dược" chết người này.
Đại gia khét tiếng người Nga Aleksey Shapovalov đã chính thức kết hôn cùng vị hôn thê của mình, người mẫu Ksenia Tsaritsina, 27 tuổi, trong 1 lễ cưới không thể xa hoa hơn tại Moscow, Nga.
Theo Business Insider, nhà hàng Alinea ở Chicago, Mỹ là đứng đầu danh sách 50 nhà hàng tốt nhất nước này. Thưởng thức bữa ăn tại nhà hàng Alinea số 1 nước Mỹ có thể là trải nghiệm thú vị nhất cuộc đời.
Nhìn vào sự thành công của những nữ tỷ phú quyến rũ này nhiều người mặc định rằng họ may mắn nhưng ít ai biết rằng tất cả đều phải trả giá bằng sự nỗ lực ngày đêm không ngừng nghỉ.
Hôm thứ 2 (7/8), ông trùm Nga Roman Abramovich và vợ, nhà sưu tập nghệ thuật Dasha Zhukova, tuyên bố "đường ai nấy đi" sau 10 năm chung sống.
Nhìn những hình ảnh sản xuất khô gà lá chanh dưới đây chắc bạn sẽ chẳng bao giờ muốn đụng đến món ăn chơi ghiền mê này nữa.
Mọi người thường nói, “trèo càng cao, ngã càng đau”. Trong trường hợp của người đàn ông đào hoa mang quốc tịch Italy này thì càng ngạo mạn càng bị tịch thu nhiều phi thuyền.

BÀI ĐỌC NHIỀU

BÀI VIẾT MỚI

Việc trang điểm sẽ trở nên nhẹ nhàng và ít tốn thời gian hơn, qua những gợi ý với cách make - up hằng ngày của cô nàng Sĩ Thanh.
Đúng như dự đoán, Nike đã trở lại cùng "con cọp" lớn mạnh nhất nhì làng thời trang đường phố: Off-White.
Vốn là một thương hiệu bình dân nhưng L'Oréal chưa bao giờ khiến các fan thất vọng về các sản phẩm của mình. Và dòng son mới này cũng không phải ngoại lệ.
Sau khi 1 trang tin rộ lên nghi vấn người mẫu Chế Nguyễn Quỳnh Châu hẹn hò Decao thì đây là câu trả lời chắc nịch của chân dài.
Tuổi trẻ có bao giờ trở lại, nếu thật sự muốn tận hưởng một cách trọn vẹn, ngay hôm nay, hãy bỏ ngay suy nghĩ “không có tiền thì ở nhà” đi thôi.
Theo ông chủ hãng tin Phong Hành tiết lộ, hiện mối quan hệ của cặp đôi Phạm Băng Băng – Lý Thần đã chấm dứt và những hình ảnh khán giả thấy chỉ là che mắt dư luận.
Tờ Gossip Cop mới đây vừa tiết đăng tải thông tin độc quyền, tiết lộ về căn bệnh thật sự khiến Ariana Grande đột ngột huỷ tour tại Việt Nam
Cùng điểm danh 5 kiểu tóc đơn giản mà xinh xắn "hot" nhất mùa Back To School.
Sử dụng khí Helium Plasma đang là phương pháp làm trẻ hóa da được nhiều bác sĩ trên thế giới quan tâm.
Bộ bí kíp 6 lại sẽ giúp bất cữ ai đã từng bị sao Thủy cho "ăn hành" mạnh mẽ hơn.
Cũng không có gì nguy hiểm đâu. Đơn giản chỉ là về mặt thẩm mỹ, bạn sẽ cảm thấy hối hận sau khi xăm mình thôi.
Câu lạc bộ Arabian Gazelles là nơi quy tụ những phụ nữ thuộc giới thượng lưu, yêu thích lái và sở hữu siêu xe ở Các Tiểu vương quốc Ả-rập Thống nhất.
Trên trang Instagram, Phillip Nguyễn - người đưa Dangerous Woman Tour về Việt Nam đã có những chia sẻ gửi đến người hâm mộ.
Chia tay rồi có làm bạn được nữa không? Tất nhiên là được, thế nhưng chuyên gia tình cảm Matthew Hussey cho rằng bạn không nên làm thế, thà một lần đau chứ đừng để nỗi đau kéo dài.
Nó sẽ khiến việc sử dụng iPhone của bạn trở nên dễ dàng hơn rất nhiều.