Para nadie es un secreto la debilidad existente en la seguridad de los ATM o como comúnmente los llamamos «cajeros automáticos» . Estos dispositivos son blanco actual de los hackers y crackers que cada día se esmeran en crear nuevas técnicas que les permitan obtener el preciado tesoro: Obtener dinero sin autorización. Algunos con fines educacionales, otros con fines delictivos.
Hay muchas formas de “romper” un cajero automático. Y cuando hablamos de “romper” hablamos de hackear/crackear estos dispositivos. En la actualidad el carding es una de las técnicas más difundidas ( y más lucrativas ) utilizadas para apropiamiento indebido de divisas, que nuevamente se advierte es TOTALMENTE ILEGAL.
Para el Carding, en los inicios, se utilizaban métodos como la extracción directa del CCPROG.LOG de un cajero automático. Este archivo es el que contiene información confidencial de la cuenta del usuario, como por ejemplo las transacciones realizadas con su tarjeta de débito/crédito, esto se realizaba a través de complicidad interna con personal del banco.
Aquí se muestra como se vé un archivo CCPROG.LOG
CCPROG.log
Otra forma que se usaba era el uso de una suckcard en la ranura del cajero para retener la tarjeta del usuario y a través de ingeniería social convencerlo de entregar la clave, mientras la persona afectada entraba al banco a pedir ayuda al personal de la institución, el atacante con la contraseña retiraba el dinero y se marchaba del sitio antes que el afectado se percatara de lo sucedido.
Actualmente han cambiado mucho las técnicas para el hurto de dinero de los cajeros automáticos y Venezuela no se ha quedado atrás en la actualización de dichas técnicas las cuales cada día son más sofisticadas.
Las mismas comprenden desde el estudio detallado del funcionamiento completo del ATM para poder vulnerarlo, hasta vulnerar la seguridad del software propiamente para que éste haga lo que nosotros queramos.
Es importante que recordemos que la gran mayoría (por no decir todos ) los ATM en Venezuela usan Microsoft Windows.
Típico error de Windows en ATM Venezolano
Existen muchísimos modelos de ATM cada uno más complejo que otro, por lo que la labor de las personas que desean hurtar dinero de los mismos no es nada fácil.
Existen ATM con DIP sin escáner para códigos de barras con cerco de Ventana, los hay con CHD V2x y escáner para códigos de barras, tambien hay con lector DIP y cámara de compartimiento de dinero, los de tipo Semi-Outdoor, Los que tienen Strong Box, los hay con caja fuerte UL, con carga frontal, con carga trasera, etc y esto es solo unos pocos ejemplos de la serie Procash de la empresa Wincor Nixdorf , ya que hay muchos modelos que por su “Exagerada” tecnología y sus costos , no se verán en Venezuela por muchísimo tiempo. Entre estos tenemos el ProntoInfo 1000, el Orbiter, el ProConsult 2000, etc. Todos estos productos son también de Wincor y se pueden buscar en la página del fabricante.
Hay otros ATM menos sofisticados como el QuickJack Dispensing System de la Empresa NRT Technology Corporation, los cuales son muy vulnerables a ataques de hardware y de software.
Este ATM tiene un programa que denominan SOP ( Service Operations Panel ) al cual si tenemos acceso realmente entrar y hacer de todo es relativamente sencillo. Tanto, que el cajero ya tiene “claves predeterminadas” para uso de nosotros:
Aqui vemos la tabla de usuarios con los Roles y Passwords predeterminados correspondientes al ATM QuickJack
Tabla de Users/Roles
También existen “Troyanos Bancarios” los cuales se inyectan en el software de los ATM y luego pueden ser operados desde el exterior a través de una secuencia y una contraseña. Esto lo hacen personas internas del Banco y así ni siquiera se exponen a que los descubran. Estos troyanos son capaces de falsificar estados de cuentas de los clientes del banco y pueden movilizar el dinero electrónicamente por diversas cuentas antes de ser retirado el efectivo, así el troyano se hace menos detectable. Existen otros troyanos de tipo Xploit’s que se valen de vulnerabilidades más particulares de bancos conocidos pero su efectividad depende mucho de la “inocencia” del cliente ya que actúa en la pc del cliente propiamente.
Readme.txt Troyano Bancario – Cortesía: Laboratorios Hispasec
Interfaz de Ataque Troyano Bancario – Cortesía: Laboratorios Hispasec
Existen dispositivos denominados Skimmers los cuales se colocan por encima de los cajeros de manera camuflada. Estos dispositivos son capaces de capturar la data de la tarjeta del usuario y enviar dichos datos de manera remota a los atacantes, los cuales luego con esos datos crearan “clones” de nuestras tarjetas para realizar futuros retiros.
Skimmer colocado en ATM – Cortesía: Anuncio.net
Otras técnicas más rudimentarias utilizadas actualmente en Venezuela son el uso de sopletes y herramientas de Oxicorte para la ruptura del ATM, El Uso de gas acetileno el cual se inyecta a los cajeros para que al mezclarse con el oxígeno genere una chispa y así volar la puerta del cofre blindado, El uso de explosivos plásticos (esto muy rara vez se ha visto, pero ha pasado en algunos casos documentados ). Y la última y más común que es mediante el desprendimiento del piso, halándolo con cadenas, cinturones de seguridad o grúa para llevárselo completo.
Queda por entendido que cualquiera de las técnicas que se mencionan en este post son TOTALMENTE ILEGALES y que el autor no se hace responsable por el uso de la información contenida en el mismo.
Referencias:
HackerClaus Team © – Artículo: Breaking your Favorite ATM
Laboratorios Hispasec – Troyano MPACK
Jonathan T Maderos. – Consultor Independiente de Seguridad
Página Wincor Nixdorf Venezuela
