ฟิชชิ่ง การแฮ็ก การติดไวรัส «ไม่มีไฟล์» การยึดอำนาจจากระยะไกล… โจรปล้นธนาคารใช้วิธีการที่ซับซ้อนมากขึ้นเรื่อยๆ และแทบจะมองไม่เห็นเพื่อคว้ารางวัลแจ็กพอตจากธนาคาร
เมื่อเรานึกถึงโจรปล้นธนาคาร ส่วนใหญ่เราจะจินตนาการถึงกลุ่มอันธพาลสวมหน้ากากที่ติดอาวุธจนฟันพุ่งเข้าใส่กิ่งไม้ในรถเก๋ง แต่ความเป็นจริงแตกต่างออกไปมากในทุกวันนี้ โจรในศตวรรษที่ 21 มักจะได้รับเงินสดจากตู้เอทีเอ็มผ่านคอมพิวเตอร์และโค้ดที่เป็นอันตราย และด้วยเทคนิคที่น่าประทับใจมากขึ้นเรื่อยๆ
ตามรายงานที่เพิ่งเผยแพร่โดยหน่วยงานยุโรปซึ่งเป็นมัลแวร์ตัวแรกที่ทำให้สามารถล้างตู้ ATM ตั้งแต่ปี 2009 ได้ โดยเรียกว่า Skimer, Ploutus หรือ Padkin-Tyupkin และจำเป็นต้องเข้าถึงภายในเครื่องเหล่านี้ ในการทำเช่นนี้ แฮกเกอร์ต้องอาศัยผู้สมรู้ร่วมคิดจากธนาคารหรือชุดกุญแจ ในความเป็นจริง มันเกิดขึ้นที่ผู้จัดจำหน่ายจะได้รับการคุ้มครองด้วยการล็อคแบบตู้ไปรษณีย์ธรรมดาเท่านั้น!
ภายในเครื่องจ่ายมักจะเป็นพีซี Windows XP ที่แฮกเกอร์ติดไวรัสทางประตูหลัง ซึ่งติดตั้งโดยตรงจากซีดีหรือคีย์ USB ที่ระดับ XFS (ส่วนขยายสำหรับบริการทางการเงิน)มิดเดิลแวร์ซึ่งทำให้สามารถจัดการการโต้ตอบระหว่างองค์ประกอบซอฟต์แวร์และฮาร์ดแวร์ต่างๆ ของผู้จัดจำหน่ายได้ เช่น คีย์บอร์ด เครื่องอ่านการ์ด ตลับเงิน ตัวประมวลผลการเข้ารหัส ฯลฯ
ล่อเพื่อกู้คืนของขวัญ
การติดเชื้อมักจะต้องบูตเข้าสู่ Linux จากนั้นแฮกเกอร์จะเปลี่ยนเครื่องกลับไปเป็น Windows XP และปิดช่องเปิดทางกายภาพ การดำเนินการทั้งหมดนี้ใช้เวลาไม่ถึง 10 นาที เห็นได้ชัดว่าทุกอย่างทำงานได้เหมือนเดิม ในความเป็นจริง ประตูหลังช่วยให้ล่อสามารถป้อนคำสั่งลับผ่านทางปุ่มกดและดีดเงินออกได้ นี่คือการสาธิตที่ดำเนินการในปี 2014 โดยนักวิจัยจากจีดาต้า-
เมื่อกำหนดวิธีการได้ดีแล้ว เงินก็ไหลมาอย่างอิสระ ในปี 2014 และ 2015 กลุ่มอาชญากรกลุ่มหนึ่งที่ใช้ Padkin-Tyupkin ทำลายตู้เอทีเอ็มในโรมาเนีย ฮังการี สาธารณรัฐเช็ก สเปน และรัสเซียอย่างเป็นระบบ จากข้อมูลของ Europol ความสูญเสียดังกล่าวมีมูลค่ามากกว่า 13 ล้านยูโร กลุ่มนี้ถูกรื้อถอนในเดือนมกราคม 2559 แต่กลุ่มอื่นๆ ยังคงใช้งานอยู่
เทรนด์ใหม่: การติดเชื้อระยะไกล
ในขณะที่ผู้ผลิตและธนาคารเรียนรู้จากข้อผิดพลาด การแพร่เชื้อไปยังตู้ ATM ผ่านการเข้าถึงทางกายภาพนั้นไม่ง่ายอย่างที่เคยเป็นอีกต่อไป ด้วยเหตุนี้ในช่วงไม่กี่ปีที่ผ่านมา อาชญากรจึงได้ก้าวไปสู่อีกระดับหนึ่ง นั่นคือ การติดเชื้อระยะไกลผ่านเครือข่าย สิ่งนี้ซับซ้อนกว่ามาก เนื่องจากไม่สามารถเข้าถึงตู้เอทีเอ็มได้ง่าย พวกมันถูกจัดกลุ่มเป็นเครือข่ายแยก เข้าถึงได้จากเครือข่ายธนาคารภายในเท่านั้น และได้รับการป้องกันด้วยไฟร์วอลล์และโซลูชั่นความปลอดภัยอื่นๆ
เพื่อให้บรรลุเป้าหมาย โจรปล้นธนาคารจึงใช้วิธีการของกลุ่มสายลับ พวกเขาจะพยายามเจาะเครือข่ายภายในของธนาคาร จากนั้นพยายามหาทางไปยังตู้เอทีเอ็ม หนึ่งในตัวอย่างที่เป็นสัญลักษณ์คือการโจมตี First Commercial Bank ซึ่งเป็นสถาบันในไต้หวันในเดือนกรกฎาคม 2559 แฮกเกอร์ส่งอีเมลที่ติดกับดักไปยังพนักงานของบริษัทย่อยในลอนดอน หนึ่งในนั้นตกเป็นเหยื่อทำให้แฮกเกอร์สามารถตั้งหลักในอินทราเน็ตของตนได้ จากนั้นพวกเขาก็แฮ็กเข้าสู่ระบบเสียงและพบข้อมูลประจำตัวของผู้ดูแลระบบเครือข่าย ซึ่งทำให้พวกเขาเชื่อมต่อผ่าน VPN ไปยังเครือข่ายของบริษัทแม่ได้
หลังจากระยะการลาดตระเวน พวกเขาสามารถเข้าควบคุมเซิร์ฟเวอร์อัพเดตของผู้จัดจำหน่ายได้ พวกเขาแทรกการอัปเดตปลอมที่ดาวน์โหลดโดยอัตโนมัติและเปิดการเข้าถึง Telnet ไปยังเครื่อง แฮกเกอร์ใช้แบ็คดอร์นี้เพื่อติดตั้งมัลแวร์ที่ทำให้เงินถูกดีดออก อีกครั้งทุกอย่างถูกล่อกลับคืนมา
การโจมตีอื่นๆ ทิ้งร่องรอยไว้ ในปี 2015 กลุ่มนี้รับบัพติศมาคาร์บานักถูกกล่าวหาว่าสามารถขโมยเงินจำนวนหนึ่งพันล้านดอลลาร์จากธนาคารกว่าร้อยแห่งทั่วโลก เพื่อให้บรรลุเป้าหมายนี้ พวกเขาแฮ็กเครือข่ายภายในของเป้าหมายและทำการถ่ายโอนข้อมูลเท็จ ในบางกรณี พวกเขายังสามารถเข้าถึงตู้เอทีเอ็มได้อีกด้วย
ถอนเงินผ่านสมาร์ทโฟน
วิธีการดำเนินการจะเหมือนกันสำหรับการโจมตี CobaltStrike ซึ่งตรวจพบเมื่อปลายปี 2559 โดยนักวิจัยด้านความปลอดภัยที่กลุ่มไอบี- มันอาศัยซอฟต์แวร์เหนือสิ่งอื่นใดโคบอลต์สไตรค์ซึ่งเป็นเครื่องมือที่ผู้เชี่ยวชาญด้านความปลอดภัยด้านไอทีใช้เพื่อทำการทดสอบการเจาะระบบขององค์กร แฮกเกอร์สามารถเข้าถึงผู้จัดจำหน่ายผ่านโปรโตคอล RDP (Remote Desktop Protocol) และติดตั้งมัลแวร์ของพวกเขา ล่อไม่จำเป็นต้องแตะเครื่องเพื่อดีดเงินออก เพียงแต่ต้องส่งรหัสลับทางสมาร์ทโฟนเท่านั้น
ในปี 2560 Kaspersky วิเคราะห์ชุดการโจมตีที่ซับซ้อนเป็นพิเศษเหมือนกับที่แฮกเกอร์ใช้เทคนิคการติดเชื้อแบบ “ไร้ไฟล์”- จากนั้นมัลแวร์จะถูกโหลดลงในหน่วยความจำหรือซ่อนอยู่ในรีจิสทรีของ Windows และไม่ทิ้งร่องรอยไว้ในระบบไฟล์ ข้อดีคือการโจมตีนั้นแทบจะตรวจไม่พบและยากต่อการวิเคราะห์หลังจากเกิดเหตุการณ์จริง ดังนั้นผู้จัดพิมพ์จึงไม่สามารถหาสำเนาได้โดย ATMitchมัลแวร์ที่นำไปใช้กับผู้จัดจำหน่ายเพื่อเทปเปล่า มีเพียงร่องรอยเล็กน้อยในไฟล์บันทึกเท่านั้นที่ทำให้สามารถสร้างการกระทำของโจรสลัดขึ้นมาใหม่ได้ดีที่สุดเท่าที่จะทำได้
กล่าวโดยสรุป โจรปล้นธนาคารได้มาถึงระดับทางเทคนิคจนเกือบกลายเป็น... ผีดิจิทัล
🔴 เพื่อไม่พลาดข่าวสาร 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
