08/10/2014 22:01 GMT+7

Cài mã độc "rút" hàng triệu USD từ máy ATM

THANH TRỰC

TTO - Một loại mã độc được thiết kế chuyên tấn công các máy ATM không cần đến thẻ, giúp tội phạm mạng cuỗm hàng triệu USD tại nhiều nước.

Rút tiền mặt tại máy ATM - Ảnh minh họa: heraldsun.com.au

Thông điệp cảnh báo về loại mã độc mang tên Tyupkin đã được Công ty Kaspersky Lab và Interpol chuyển đến đến các nước bị ảnh hưởng và tiếp tục hỗ trợ cuộc điều tra đang diễn ra.

Các chuyên gia của Kaspersky Lab đã thực hiện một cuộc điều tra sau đợt tấn công của tội phạm mạng nhắm mục tiêu vào nhiều máy ATM trên toàn thế giới.

Trong quá trình điều tra, các nhà nghiên cứu phát hiện một phần mềm độc hại lây nhiễm các máy ATM, cho phép những kẻ tấn công lấy cắp hàng triệu đô la.

Điều đặc biệt là bọn tội phạm mạng chỉ hoạt động vào Chủ nhật và thứ Hai, với thao tác kết hợp các chữ số trên bàn phím máy ATM mà không cần đưa thẻ tín dụng vào khe đọc thẻ.

Sau đó, chúng gọi điện để được hướng dẫn thêm từ một kẻ điều hành, và cuối cùng, chúng nhập một tập hợp các con số và các máy ATM bắt đầu cho ra tiền. Rất nhiều tiền mặt!

Trong vài năm trở lại đây, chúng ta đã quan sát thấy xu hướng đi lên của các cuộc tấn công máy ATM sử dụng các thiết bị cà/quẹt và phần mềm độc hại. Bây giờ chúng ta lại chứng kiến sự leo thang của mối đe dọa này với bọn tội phạm ngày càng tinh vi và nhắm mục tiêu trực tiếp vào các tổ chức tài chính. Phần mềm độc hại Tyupkin là một minh chứng cho những kẻ tấn công lợi dụng những yếu kém trong cơ sở hạ tầng ATM

Vicente Diaz, Nhà nghiên cứu bảo mật chính tại Kaspersky Lab nhận định.

Bên cạnh đó, Sanjay Virmani, Giám đốc trung tâm tội phạm kỹ thuật số của INTERPOL nhận xét: “Bọn tội phạm mạng liên tục tìm ra những cách thức mới để phát triển phương pháp phạm tội của chúng. Chúng tôi vẫn thực thi pháp luật ở các nước thành viên cũng như thông báo cho họ biết về các xu hướng hiện tại.”

Theo yêu cầu của một tổ chức tài chính, nhóm nghiên cứu toàn cầu của Kaspersky Lab đã thực hiện một cuộc điều tra về hình thức tấn công này của tội phạm mạng. Phần mềm độc hại được xác định và đặt tên bởi Kaspersky Lab là Backdoor.MSIL.Tyupkin.

Mã độc Tyupkin hoạt động như một chương trình mở cửa sau trên các hệ thống máy rút tiền tự động ATM dùng hệ điều hành Windows 32-bit. Nó cần phải được "lây nhiễm" trực tiếp (tác động vật lý) qua đĩa CD khởi động vào hệ thống máy ATM. Theo các chuyên gia an ninh, nó đã hoành hành vài tháng qua, lây nhiễm vào những máy ATM tại châu Á, châu Âu và châu Mỹ Latinh.

Bản đồ ghi dấu vết mã độc Tyupkin - Ảnh: Kaspersky Lab

Máy ATM bị mã độc "rút tiền" như thế nào?

Bọn tội phạm hoạt động theo hai giai đoạn, đầu tiên, chúng tiếp cận các máy ATM và chèn một đĩa CD để cài đặt phần mềm độc hại, có tên là Tyupkin (tên được đặt bởi Kaspersky Lab). Sau khi khởi động lại hệ thống, các máy ATM xem như đã bị nhiễm độc và dưới quyền kiểm soát của chúng.

Khi lây nhiễm thành công, phần mềm độc hại này chạy trong một vòng lặp vô hạn chờ lệnh.

Để việc lừa đảo khó bị phát hiện, phần mềm Tuynkin chỉ chấp nhận lệnh tại một thời điểm cụ thể là đêm Chủ nhật và Thứ hai. Trong thời gian vài giờ, những kẻ tấn công có thể ăn cắp tiền từ các máy bị nhiễm.

Quy trình tấn công "rút tiền chùa" từ máy ATM của tội phạm mạng - Ảnh: Kaspersky

Các đoạn băng thu được từ camera an ninh tại các máy ATM bị nhiễm cho thấy phương pháp được sử dụng để lấy tiền mặt từ máy. Một tổ hợp phím duy nhất dựa trên các số ngẫu nhiên được tạo mới cho mỗi phiên đăng nhập. Điều này đảm bảo rằng không có người ngoài băng nhóm có thể thu lợi nhuận từ việc gian lận.

Các bước tiếp theo khá tinh vi, một trong các thành viên băng tội phạm mạng sẽ tạo ra thuật toán và một mã số dựa trên số liệu đã cung cấp.

Nếu mã được nhập chính xác, các máy ATM hiển thị chi tiết trong máy đang có sẵn bao nhiêu tiền mặt trong từng ngăn chứa tiền. Tội phạm mạng chỉ cần chọn số tiền cần lấy. Sau đó, máy ATM sẽ cung cấp đủ 40 tờ tiền mặt từ mỗi ngăn được chọn.

Đáng lo hơn, chúng có thể lặp lại thao tác "rút tiền" này nhiều lần.

Đoạn video về cách tấn công hoạt động trên một máy ATM như thế nào - Nguồn: YouTube/Kaspersky

Làm thế nào để các ngân hàng giảm thiểu rủi ro?

1. Xem xét lại chất lượng an ninh của máy ATM của họ và xem xét đầu tư vào các giải pháp bảo mật.

2. Thay thế tất cả các ổ khóa cũng như master keys trên khe nhận thẻ của các máy ATM, và các khóa mặc định được cung cấp bởi nhà sản xuất máy ATM.

3. Cài đặt chuông báo động và đảm bảo nó làm việc tốt. Bọn tội phạm mạng đứng sau Tyupkin chỉ lây nhiễm máy ATM không có báo động an ninh.

4. Thay đổi mật khẩu mặc định của BIOS.

5. Đảm bảo máy ATM có các phiên bản bảo vệ chống virus mới nhất.

Chúng tôi khuyến cáo các ngân hàng xem xét lại chất lượng an ninh tại các máy ATM, cơ sở hạ tầng mạng và xem xét đầu tư vào các giải pháp bảo mật chất lượng

Vicente Diaz, Nhà nghiên cứu bảo mật tại Kaspersky Lab

Để được tư vấn về cách kiểm tra các máy ATM hiện có bị lây nhiễm hay không, hãy liên hệ trực tiếp tại intelreports@kaspersky.com. Ngoài ra, để quét toàn bộ hệ thống máy ATM và xóa các backdoor hãy sử dụng Kaspersky Virus Removal Tool miễn phí.

* Xem phân tích kỹ thuật về mã độc Tyupkin tại đây.

THANH TRỰC