Mã độc mới “điều khiển” được máy ATM?

09:58, 13/10/2014

It nhất 50 máy ATM ở Đông Âu và một số nơi khác bị nhiễm một chương trình phần mềm độc hại có tên là Tyupkin. Mã độc này có thể được điều khiển thông qua bàn phím của máy ATM để phân chia các hóa đơn được lưu trữ trong băng cassette của hệ thống các cuộc tấn công.

Một lỗi lập trình rò rỉ mới phát hiện có thể tương tác với các thành phần vật lý trên máy rút tiền tự động, giúp kẻ tấn công tạo ra các phần mềm độc hại được sử dụng để ăn cắp tiền từ máy ATM ở nhiều nước khác nhau trên thế giới.

Các nhà nghiên cứu bảo mật từ Kaspersky Lab thông báo, ít nhất 50 máy ATM ở Đông Âu và một số nơi khác bị nhiễm một chương trình phần mềm độc hại có tên là Tyupkin. Mã độc này có thể được điều khiển thông qua bàn phím của máy ATM để phân chia các hóa đơn được lưu trữ trong băng cassette của hệ thống. Kaspersky Lab tin rằng Tyupkin sẽ được sử dụng để ăn cắp tiền của hàng triệu người, dù đó không phải là mối đe dọa đầu tiên của loại hình này.

Tháng 10/2013, các nhà nghiên cứu bảo mật tại Symantec cảnh báo về một chương trình cửa hậu (backdoor) ATM có tên Ploutus, được sử dụng để ăn cắp tiền ở Mexico. Vào tháng 5/2104, các chuyên gia bảo mật cũng ghi nhận và công bố một trojan ATM có tên Padpin, hoạt động tương tự như Tyupkin.

Mô phỏng tấn công máy ATM được thực hiện bởi Tyupkin

18 máy ATM bị nhiễm phần mềm độc hại tại Malaysia gần đây đã mang về cho bọn tội phạm 3 triệu Ringgit Malaysia, tương đương hơn 900.000 USD (theo báo cáo của giới truyền thông nước này). Không rõ phần mềm độc hại đã được sử dụng trong cuộc tấn công, nhưng Padpin có thể là một trong những khả năng.

Các nhà nghiên cứu bảo mật của F-Secure đã phân tích mẫu Padpin gần đây và xác định rằng phần mềm độc hại này được thiết kế để tương tác với một thư viện DLL đặc biệt, được gọi là Extension for Financial Services (XFS) chỉ tồn tại trên các máy ATM.

Thư viện được gọi là MSXFX.dll đặc biệt cung cấp một giao diện lập trình ứng dụng (API), cho phép các phần mềm giao tiếp với pin pad trên máy ATM. Theo các nhà nghiên cứu của Kaspersky Lab, Tyupkin cũng sử dụng MSXFS.dll.

Không giống như thẻ tín dụng, các hành vi trộm cắm tiền từ máy ATM được thực hiện thông qua phần mềm độc hại, không ảnh hưởng quá lớn đến người tiêu dùng, mà ảnh hướng Tyupkin tới các tổ chức tài chính sở hữu máy ATM. Có nhiều phương pháp ngăn chặn các cuộc tấn công như vậy, bởi nó yêu cầu truy cập vào thành phần vật lý trên máy ATM, chẳng hạn khóa mặc định trên máy, vô hiệu hóa CD-RIM và cổng USB, hoặc hệ thống báo động riêng.

Trong quá khứ, các ngân hàng có thể cân nhắc bảo vệ thành phần vật lý trên máy ATM, nhưng nếu cuộc tấn công bằng phần mềm độc hại như Tyupkin, Padpin hoặc Ploutus tăng lên, các nhà nghiên cứu bảo mật dự đoán các tổ chức tài chính sau này có thể buộc phải nghiêm túc xem xét lại biện pháp an ninh trên hệ thống máy ATM của họ.

Những “vụ án” tấn công máy ATM không còn mới, nhưng những mã độc liên tục xuất hiện với những biến thể khác nhau. Thêm nữa, thời “liên minh Ngân hàng”, cho phép rút tiền từ bất kỳ máy ATM nào, dường như tạo cơ hội tốt cho các mã độc hoành hành. Bởi hệ thống bảo mật của các ngân hàng là khác nhau, nên chỉ cần một máy ATM lộ “yếu huyệt”, các máy ATM khác chắc chắn sẽ liên lụy.

Hiện, vẫn chưa có phương thức cụ thể để ngăn chặn Tyupkin. Cách duy nhất là bạn trông chờ sự “may mắn” máy ATM bạn rút tiền không bị tấn công và chờ đợi các ngân hàng nâng cấp hệ thống bảo mật cũng như có biện pháp triệt để hòng tiêu diệt Tyupkin.

Vậy, người tiêu dùng đặt niềm tin vào đâu đây? Vào ngân hàng họ tin tưởng gửi gắm tài sản, hay tin vào những máy ATM hiện đại có "cơ chế bảo mật" lỏng lẻo như trên...?

Diệp Hân
(theo pcworld.com)