Onderzoekers hacken geldautomaat met Raspberry Pi
Onderzoekers hebben onlangs laten zien hoe ze met een Raspberry Pi geldautomaten kunnen hacken, om bijvoorbeeld pincodes te stelen, geldcassettes te openen en geld op te nemen. In tegenstelling tot andere aanvallen die de afgelopen maanden werden gerapporteerd en waarbij malware werd ingezet, besloten de Russische onderzoekers Alexey Osipov en Olga Kochetova een andere aanpak te kiezen.
Ze gebruikten een Raspberry Pi, een kleine programmeerbare computer met de omvang van een creditcard, om die op de RS-232- of USB-aansluiting van de geldautomaat aan te sluiten. Het apparaatje is als hardware "sniffer" te gebruiken of als controller. Om met de geldautomaat te communiceren gebruikten de onderzoekers een aantal Application Programming Interfaces (APIs) genaamd XFS, wat staat voor "extensions for financial services". Via deze APIs kan de apparatuur in de automaat met elkaar communiceren.
Het laat een aanvaller echter ook de computer van de geldautomaat omzeilen, waardoor het mogelijk is om direct met de andere aangesloten apparatuur te communiceren. Een voordeel daarbij is dat de Raspberry Pi zeer klein is. Om het apparaatje aan te sluiten moet een aanvaller wel fysieke toegang hebben. Tijdens een test slaagden de onderzoekers erin om een geldautomaat binnen twee minuten open te maken, de minicomputer aan te sluiten en de ombouw weer terug te plaatsen, meldt Bank Infosecurity.
Fabrikanten van geldautomaten moeten dan ook penetratietests op hun apparatuur laten uitvoeren alsmede de fysieke beveiliging aanscherpen, zo stellen de onderzoekers. Verder moet de geldautomatenindustrie aan een open specificatie werken zodat de onderdelen binnen een geldautomaat op veilige wijze met elkaar kunnen communiceren en elkaar kunnen authenticeren. "Het hacken van een geldautomaat met een kleine computer zoals een Raspberry Pi zou niet mogelijk moeten zijn, maar is het wel", aldus Osipov.
Before a computer can be installed inside an ATM, however, an attacker needs to gain physical access to the enclosure itself, and then plug their device into an Ethernet, USB or RS-232 port. But as recent malware attacks in Eastern Europe and Western Europe have shown, criminals are getting better at not just locating unattended ATMs, but also procuring the keys required to access ATM enclosures, plugging in a USB drive that installs malware on the targeted system, and then rapidly dispensing as much money as possible.
Ik heb een raspberry-Pi, volgens de gedachten gang van de FBI ben ik u dus weer crimineel?
Goh, hebben ze er voor het gemak van de digitale crimineel geen wifi ontvanger in gebouwd?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
