ІБ-фахівець Хосеп Родрігес продемонстрував кілька способів маніпуляції з банкоматом з використанням смартфона. Він написав мобільний додаток, яке задіює NFC і дозволяє необмежено знімати готівку, знижувати комісію за послуги, зламати або заблокувати термінал і проводити інші дії.
Родрігес використовував відомі уразливості в протоколі NFC, що дозволяють вивести з ладу пристрій-приймач відправкою йому великої кількості сміттєвої інформації. Спеціаліст сповістив банки про цю проблему близько року тому, і деякі з них внесли зміни в роботу своїх банкоматів, однак вразливість все ще актуальна для більшості організацій, оскільки фізично неможливо оновити їх все навіть за такий час.
Використовуючи метод Родрігеса, зловмисник може залишатися анонімним, адже йому не потрібно вставляти в банкомат карту або підносити її до сенсора NFC – досить прикласти смартфон із запущеним шкідливим додатком. Родрігес називає свій спосіб банківським джекпотом – по аналогії з ігровими автоматами, що дозволяють при певному везінні зірвати великий куш. При вдалому збігу обставин можна провести смартфоном у терміналу – і у відповідь він видасть пачку грошей.
Правда, одного тільки додатки недостатньо – потрібно ще знати, які саме уразливості є у того чи іншого банкомату. Подробиці про ці вразливості фахівець не став розкривати. Він сподівається, що банки більш серйозно поставляться до цієї проблеми і як можна швидше оновлять всі свої банкомати.
Leave a Comment