Hacket hæveautomat uddeler bundter af penge

9. oktober 2014 kl. 08:2218
Ved hjælp af en boot-CD, en kode og adgang til en central algoritme viser Kaspersky Labs, hvordan man kan få gratis penge ud af en hæveautomat.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

En hæveautomat bliver bootet med en cd, og hackeren kan herefter - hvis han er i besiddelse af en kode og en central algoritme - indtaste et kodeord på hæveautomaten. Resultat: gratis penge og så mange som 40 sedler af gangen. Det skriver BBC.

Hacket hedder Tyupkin, og med algoritmen i hånden kan man så hæve så tit og ofte, man vil, fra den præinficerede hæveautomat, så længe det ikke bliver opdaget. Pengene går ikke fra nogens konto, algoritmen beordrer blot maskinen til at udlevere penge fra en indvendig kassette - bankens penge.

Læs mere om, hvordan Kaspersky gjorde, på bloggen her.

Kaspersky Labs præsenterede - efter at have udført hacket på opfordring af en unavngiven bank som et forsøg - stuntet på en video, og det har fået Interpol til at advare om sikkerheden på hæveautomater og desuden starte en efterforskning af fænomenet.

Artiklen fortsætter efter annoncen

Der er jævnligt historier i pressen om måder at snyde penge ud af hæveautomater på, og sikkerhedsproblemerne bliver ikke mindre af, at de fleste hæveautomater ifølge BBC har gammel software, er dyre at opgradere og talrige i antal uden mulighed for central opdatering.

Det er Kaspersky Labs opmærksomme på, og de har nu identificeret metoder, der ikke længere er ude efter kundernes penge, men bankens penge.

»Igennem de sidste par år har vi observeret in markant stigning i antallet af angreb på hæveautomater med kreditkortscannere og malware. Nu ser vi en naturlig evolution af truslen, hvor cyberkriminelle rykker op i fødekæden og direkte angriber de finansielle institutioner,« siger Vicente Diaz, der er ledende sikkerhedsforsker ved Kaspersky.

Se video fra kaspersky

Remote video URL

18 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
17
10. oktober 2014 kl. 12:46

Typisk aflæses automatens tælleværker en gang i døgnet og afstemmes med den tilhørende kassekonto. Og eftersom de eneste der betaler i en bank er kunderne, så går pengene indirekte fra alle kunder. Men den kasserer, der har fyldt maskinen op, kunne faktisk stå med et problem hvis hacket blev udført i virkeligheden. Hvor let beviser han, at han ikke har taget pengene ?

15
10. oktober 2014 kl. 07:28

http://en.m.wikipedia.org/wiki/Ronald_Dale_Harris

Han arbejde for casinoerne og havde adgang til spillemaskinerne. På den måde kunne han installere en opdateret firrmware, så at han kunne få maskinerne til at udbetale en jackpot. Det er vel noget tilsvarende man kunne tænke sig her. Hvis at man sevicerede ATMs så havde man en række maskiner, hvor at man kunne hæve gratis penge. Det er ikke noget man bliver hurtig rig af, men mere en fast indkomst.

6
9. oktober 2014 kl. 13:29

Sejt hack der kan få hæveautomater til at bundte pengesedler. Det vidste jeg slet ikke de ku' ;-p

2
9. oktober 2014 kl. 10:21

.. hvor putter man CD'en ind i en hæveautomat?

5
9. oktober 2014 kl. 11:46

En hæveautomat bliver bootet med en cd og hackeren kan herefter - hvis han er i besiddelse af en kode og en central algoritme - indtaste et kodeord på hæveautomaten. Resultat: Gratis penge og så mange som 40 sedler af gangen.

Hvis man bryder en pengeautomat op, kan man forsyne sig med samtlige sædler direkte fra skufferne. Helt udenom det fancy-shmancy hacker thingie og ikke kun 40 ad gangen! ;O)

Prøv at putte en CD i en pengeautomat først... og en kode og en central algoritme - og indtaste et kodeord... ja, det bare lige til.

9
9. oktober 2014 kl. 14:27

Hvis man bryder en pengeautomat op, kan man forsyne sig med samtlige sædler direkte fra skufferne. Helt udenom det fancy-shmancy hacker thingie og ikke kun 40 ad gangen! ;O)</p>
<p>Prøv at putte en CD i en pengeautomat først... og en kode og en central algoritme - og indtaste et kodeord... ja, det bare lige til.

Tjaahh, nu kender jeg kun automaterne fra forsiden, hvor jeg hæver penge.

Men hvis nu elektronikken blot er beskyttet af et relativt blødt kabinet (som også indeholder en låge der er nem at fjerne), men pengene er ekstra pakket ind i en solid kasse med solid dør og hængsel, bliver det måske interessant at bruge elektronikken i stedet.

Der er jo efterhånden en del steder hvor der står automater ved gamle nedlagte filialer, som er omdannet til almindelig butik, eller butikker/centre der har en automat opstillet - - - det er mit indtryk at de ikke alle er lige solidt beskyttet mod fysisk adgang for uvedkommende.

Så i stedet for at sprænge bygning, boks og sedler til konfetti (og vække naboer), kunne det være fristende at pille lidt ved elektronikken - en forklædning som rengørings-m/k eller teknier, måleraflæser eller noget helt fjerde kan hjælpe til at komme tæt på automaten, og så ud foran (eller en medskyldig) og penge hæves.

10
9. oktober 2014 kl. 15:18

Der er jo efterhånden en del steder hvor der står automater ved gamle nedlagte filialer, som er omdannet til almindelig butik, eller butikker/centre der har en automat opstillet - - - det er mit indtryk at de ikke alle er lige solidt beskyttet mod fysisk adgang for uvedkommende.

Der var sag i TV2's krimi magasin, hvor nogle røvere røvede en pengetransport, hvor vagterne var ved at fylde en pengeautomat i en lukket bank. Overvågningskameraer havde fanget røveriet. Såvidt jeg kan huske, så var der forholdsvis nem adgang til automaten, når man var inde i den lukkede filial. Ved så ikke om man "bare" kan åbne lågen til automaten.

7
9. oktober 2014 kl. 13:43

Det ville nok være nemmere at røve nationalbanken, end at "hacke" en bankautomat på den måde som beskrevet. Fuldstændigt urealistisk trusselsniveau. Ja man kan exploite hæveautomaters software. Men "sjovt" nok er den slags vel aldrig sket i Danmark, fordi det rent praktisk er fuldstændigt umuligt. Jo måske dem som har kontakt med softwaren kunne tænkes at inficere automaterne til senere hen at udnytte dem til at hæve ubegrænset penge. Men mon ikke den slags scenarier er godt gennemtænkte af selskaberne og bankerne?

Der er jo en god grund til at man aldrig har hørt om den slags før i Danmark.

16
10. oktober 2014 kl. 09:25

Det er noget pjat at det ikke kan lade sig gøre i danmark. Automaterne er ikke beskyttet bedre her end så mange andre lande. Der kommer også til at ske denne slags angreb i danmark i fremtiden

8
9. oktober 2014 kl. 13:59

Det ville nok være nemmere at røve nationalbanken, end at "hacke" en bankautomat på den måde som beskrevet. Fuldstændigt urealistisk trusselsniveau.

Det er ikke realistisk i DK, hvor hæveautomater stort set kun er at finde i banker. Men hvis man rejser ud i verden, finder du mange steder hvor hæveautomater står i mindre butikker, osv. Hvor de ikke er muret inde, set fra "kundens" synsvinkel, men "kun" er boltet fast i gulvet.

3
9. oktober 2014 kl. 10:49

Lige over floppydrevet og under båndstationen.

1
9. oktober 2014 kl. 10:15

Dette må være faktuelt forkert, da pengene er bogført på en konto i banken.

Det kan sidestilles med at stjæle fra en pung. Det går heller ikke ud over nogen konto. ;-)

11
9. oktober 2014 kl. 15:35

Det er kun bankens egen konto, hvis man kan kalde det det. Pengene der ligger i maskinen tilhører ikke nogen kunders konto.

4
9. oktober 2014 kl. 11:10

Det er ikke forkert. Pengeautomater i Danmark har også en supervisor-funktion (slås til med en switch på indersiden), og man kan derefter ejecte penge direkte fra skufferne. Der er overhovedet ikke nogen konti af nogen art involveret; det er til test og debug af automaten selv.