Các điểm rút tiền ATM có thể bị hack qua Google

Có cách nào phá điểm rút tiền tự động ATM mà không cần dùng đến cần cẩu? Một chuyên gia bảo mật đã khám phá ra cách hết sức nhẹ nhàng thông qua công cụ tìm kiếm Google.

Theo một bài báo trên eWeek, chuyên gia bảo mật đáng kính Dave Goldsmith, người sáng lập Matasano Security (tiền thân của @Stake) đã dùng Google để tìm ra mật khẩu master tại điểm rút thẻ ATM công cộng Tranax Mini-Bank 1500 chỉ trong vòng 15 phút.

Bị kích thích bởi một bài báo trên CNN TV đưa tin có một người đã hack điểm rút thẻ ATM để lấy đi 20 đô la từ các hoá đơn 5 đô la, Goldsmith xây dựng một chương trình hack ATM qua Google. Mật khẩu cùng nhiều thông tin nhạy cảm khác bị khám phá danh chóng với 102 trang định dang PDF trên một website bán lại.

Bất kỳ ai muốn sử dụng thông tin này để hack, chỉ cần nhập trình tự khoá cụ thể và sau đó là chờ các mật khẩu master, service hoặc operator. Sử dụng các mật khẩu này hoàn toàn có thể chiếm quyền điều khiển hoặc chạy lại chương trình trong các máy ATM.

“Đó không phải là một điểm yếu cố hữu”, Goldsmith giải thích. “Bạn chỉ có thể dễ dàng khai thác với các tài khoản ATM có mật khẩu mặc định chưa bị thay đổi”.

“Thử bắt tay vào khai thác, bạn có thể cấu hình cơ bản lại máy ATM với các mật khẩu mặc định chưa thay đổi. Hầu hết các mini-bank đều có vô số người sở hữu tài khoản thậm chí còn chưa sờ tới mật khẩu mặc định”.

Các ngân hàng dường như không đưa ra lời bình luận nào về sự phát giác bất thường này. Nhưng các máy ATM đang bị đặt nhiều dấu hỏi, thậm chí lên tới 40 note trong một giao dịch đơn. Người ta thắc mắc không biết lượng tiền tối đa một tội phạm mạng ăn trộm được từ một máy ATM, sử dụng thẻ đơn là bao nhiêu. Giả định lượng tối thiểu mỗi lần rút là 20$ thì về mặt lý thuyết chúng có thể dễ dàng kiếm được 800$ mỗi ngày.

Goldsmith tạo ra chủ đề này, nhưng bỏ qua các chi tiết cụ thể khi dò tìm lỗ hổng bảo mật.

Các bạn có thể xem các mã ATM đã bị Goldsmith hack từ xa trên video của YouTube.

Goldsmith được biết đến nhiều nhất với vai trò là người sáng lập ra @Stake. Nhưng cuối cùng bị Symantec mua trong năm 2004.