Cảnh báo về chiêu cướp tiền máy ATM của tin tặc

13:15 05/05/2017
Phần mềm độc hại này được cài đặt và thực hiện từ xa trên một máy ATM của ngân hàng thông qua việc quản lý các máy ATM từ xa. Sau khi cài đặt và kết nối với máy ATM, mã độc ATMitch liên lạc với máy ATM như thể nó là một phần mềm hợp pháp.

Nó cho phép kẻ tấn công thực hiện một số lệnh, ví dụ như thu thập thông tin về số tiền trong ATM. Hơn thế nữa, nó cung cấp khả năng phân phát tiền vào bất cứ lúc nào, chỉ với một nút bấm.

Phần mềm độc hại ATMitch

Thông thường bọn tội phạm sẽ bắt đầu bằng cách lấy thông tin về số tiền mà một máy đang có. Sau đó, một tên tội phạm có thể gửi một lệnh để phân phát một số tiền mặt bất kỳ từ massette của ATM. Sau khi rút tiền theo cách kỳ lạ này, tội phạm mạng chỉ cần lấy tiền và đi. Một vụ cướp ATM như thế này chỉ mất vài giây!

Phần mềm độc hại giúp tin tặc trộm tiền từ cây ATM dễ dàng.

Một khi máy ATM bị cướp xong, mã độc sẽ tự xóa dấu vết của nó. Một ngày các nhân viên ngân hàng phát hiện ra một máy ATM rỗng: Không có tiền, không có dấu vết tương tác vật lý với máy và cũng không có mã độc. Sau khi các chuyên gia của Kaspersky Lab dành thời gian để giải quyết trường hợp bí ẩn này, họ không chỉ hiểu được các công cụ tội phạm mạng sử dụng mà còn tái tạo lại cuộc tấn công, phát hiện ra sự vi phạm an ninh tại ngân hàng.

Cụ thể, vào tháng 2-2017, Kaspersky Lab đã công bố kết quả điều tra vụ tấn công bí mật nhắm vào các ngân hàng, mà bọn tội phạm mạng sử dụng mã độc trong bộ nhớ để xâm nhập vào mạng lưới ngân hàng. Nhưng tại sao chúng lại làm chuyện này? Vụ ATMitch đã cho chúng ta hiểu toàn bộ bức tranh.

Vụ điều tra bắt đầu ngay sau khi các chuyên gia pháp lý của ngân hàng khôi phục và chia sẻ với Công ty công nghệ chống virus Kaspersky Lab hai tập chứa các bản ghi phần mềm độc hại từ ổ cứng của máy ATM (kl.txt và logfile.txt). Đây là các tập duy nhất còn sót lại sau cuộc tấn công. Trong các tập tin nhật ký nói trên, các chuyên gia Kaspersky Lab đã xác định được các phần thông tin bằng văn bản thuần túy giúp tạo ra quy tắc YARA để tìm ra mẫu.

Quy tắc YARA là các chuỗi tìm kiếm cơ bản giúp các nhà phân tích tìm, nhóm và phân loại các mẫu mã độc có liên quan và thu thập các kết nối giữa chúng dựa trên các hoạt động đáng ngờ trên hệ thống. Sau một ngày chờ đợi, các chuyên gia đã tìm thấy mẫu phần mềm độc hại mong muốn - "tv.dll", sau đó được đặt tên là ATMitch.

Vẫn chưa biết được ai đứng đằng sau những vụ tấn công này. Việc sử dụng mã khai thác nguồn mở, các tiện ích phổ biến của Windows và các tên miền không xác định trong suốt giai đoạn đầu của quá  trình hoạt động khiến việc xác định nhóm chịu trách nhiệm là gần như không thể. Tuy nhiên, mã độc "tv.dll" được sử dụng trong giai đoạn tấn công ATM chứa các nguồn tiếng Nga, và các nhóm được biết đến có thể phù hợp với hồ sơ này là GCMAN và Carbanak.

Đường dây tin tặc chiếm quyền điều khiển máy ATM để rút tiền ở châu Á

Với cách thông thường, bọn tội phạm khó lòng để trộm tiền từ máy rút tiền tự động ATM, vì thế, bọn chúng đã sử dụng một trong những phương pháp thông dụng nhất để lừa đảo và rút tiền từ đây là sử dụng một thiết bị vật lý, gắn bên ngoài khe cắm thẻ của các máy ATM để thu thập thông tin của chủ thẻ, tạo ra một cái thẻ giả mạo và rút tiền. Báo WST cho hay.

Chúng tinh vi không để lại dấu vết.

Theo báo chí Trung Quốc, hai người đàn ông Ukraina bị bắt giữ tại Macau được cho rằng, đã cài đặt thành công virus vào 7 máy ATM tại Macau. Điều này giúp chúng dễ dàng trộm tiền từ những cây ATM này. Hai bị cáo đã bị bắt giữ mới đây bởi các nhà chức trách tại Macau, nhưng khoảng 7 máy ATM đã bị hai đối tượng đến từ Ukrania xâm nhập thành công lấy đi khoảng 100.000 USD bằng phương pháp cài virus giống như trên.

Theo các nhà chức trách, những người đàn ông bị cáo buộc sử dụng một thiết bị màu xanh để thực hiện việc rút trộm tiền. Đầu tiên họ kết nối điện thoại với một máy tính xách tay và sau đó chèn nó vào khe cắm thẻ trên máy ATM. Các thiết bị được sử dụng bởi những tên tội phạm chứa đựng nhiều thông tin. Sau khi đưa các thiết bị vật lý vào khe cắm thẻ ATM, bọn tội phạm cài đặt thành công các phần mềm độc hại có khả năng lấy đi thông tin thẻ tín dụng của khách hàng, bao gồm cả mã PIN.

Các nguồn tin từ ngân hàng cho biết, khi thiết bị này được lắp vào khe cắm tiền mặt, nó tạo ra các chương trình độc hại chạy trên máy ATM để phá hoại giúp những kẻ tội phạm có thể dễ dàng rút tiền. Sau đó máy sẽ khởi động lại ngay sau khi thiết bị vật lý được lấy ra. Bất cứ ai sử dụng máy ATM sau đó sẽ trở thành nạn nhân, các chương trình virus ẩn bắt đầu ghi lại số thẻ tiền mặt, mã PIN và các thông tin khác được nhập của khách hàng.

Các nghi phạm sau đó quay trở lại máy ATM để thu thập thông tin thẻ bằng cách sử dụng cùng một loại thiết bị màu xanh lá cây và sau đó, chúng dùng một con chip đặc biệt để xóa dấu vết về chương trình phạm tội. Người ta tin rằng với cách này chúng đã tích lũy ít nhất 63 thông tin thẻ bị đánh cắp. Tiếp đến, tội phạm sử dụng thông tin thẻ tiền mặt này để tạo một thẻ rút tiền mới. Công nghệ tương tự như thế này đã không còn mới, nhưng bọn tội phạm vẫn dùng mọi cách để thực hiện.

V. Nguyễn-L.T. (tổng hợp)

Ngoại trưởng Mỹ Marco Rubio tuyên bố nước này sẽ bắt đầu thu hồi thị thực của sinh viên Trung Quốc, trong một nỗ lực nhằm định hình lại hệ thống giáo dục và điều chỉnh chính sách nhập cư.

Thông tin từ Trung tâm dự báo khí tượng thủy văn Quốc gia, đêm qua và sáng sớm nay (29/5), khu vực Nam Trung Bộ đã có mưa vừa, mưa to và dông, cục bộ có nơi mưa rất to; khu vực Bắc Bộ, Thanh Hóa, Nghệ An, Tây Nguyên và Nam Bộ có mưa, mưa vừa và rải rác có dông, cục bộ có nơi mưa to đến rất to.

Chiều 28/5, tại Hà Nội, Học viện Cảnh sát nhân dân (CSND) đã tổ chức Hội nghị tổng kết 50 năm đào tạo trình độ đại học tại Học viện CSND giai đoạn 1975-2025. Thượng tướng, PGS.TS Trần Quốc Tỏ, Ủy viên Trung ương Đảng, Thứ trưởng Bộ Công an dự và chủ trì hội nghị.

Chiếc vương miện - biểu tượng của sắc đẹp, trí tuệ và sự thành công - từ lâu đã được xem là đích đến của bao cô gái trẻ mang trong mình khát khao tỏa sáng. Nhưng, phía sau những tràng pháo tay, ánh đèn sân khấu rực rỡ và những bộ đầm lộng lẫy, là một thế giới không phải ai cũng nhìn thấy: nơi nổi tiếng đi cùng tai tiếng, nơi danh tiếng đi cùng sự ảo tưởng về vị trí, quyền lực.

Phó Thủ tướng Chính phủ Lê Thành Long yêu cầu Bộ Y tế rà soát, báo cáo rõ các hạn chế, bất cập trong các quy định hiện hành về quản lý an toàn thực phẩm đối với sản phẩm thực phẩm chức năng; xác định rõ những vấn đề còn chưa chặt chẽ, sơ hở, dễ bị lợi dụng, thao túng để làm trái quy định.

Căn nhà tạm của gia đình ông K Srai (SN 1952), ở bon Ting Wel Đơm, xã Đắk Nia, TP Gia Nghĩa (Đắk Nông), sau nhiều năm không được tu sửa đã dột nát, chỉ còn chức năng che nắng, không ngăn được mưa. Giờ đây mọi chuyện đã khác...

Ngày 28/5, Cơ quan CSĐT Công an tỉnh Đắk Nông cho biết, đã tạm giữ hình sự Vũ Văn Huân (SN 1966), trú tại TP Gia Nghĩa và Ngô Minh Truyền (SN 1998), trú tại huyện Đắk Song, để điều tra về hành vi chống người thi hành công vụ.

Chiều 28/5, trong phiên tòa hình sự sơ thẩm xét xử bị cáo Nguyễn Lộc An (cựu Phó Vụ trưởng Vụ Thị trường trong nước, Bộ Công thương), đại diện Viện kiểm sát thực hành quyền công tố tại phiên tòa đã đề nghị Hội đồng xét xử tuyên phạt bị cáo Nguyễn Lộc An mức án từ 12-13 năm tù về tội “Nhận hối lộ”.

©2004. Bản quyền thuộc về Báo Công An Nhân Dân.
®Không sao chép dưới mọi hình thức khi chưa có sự đồng ý bằng văn bản của Báo Công An Nhân Dân.