Barnaby Jack, Giám đốc công ty nghiên cứu bảo mật IOActive Inc (Mỹ) đồng thời là một hacker, cho biết anh đã khám phá ra 2 điểm yếu nghiêm trọng của toàn bộ hệ thống máy rút tiền tự động hiện nay.
Theo hãng tin
AP, tại hội thảo công nghệ bảo mật Black Hat tổ chức tại Las Vegas (Mỹ) hôm 28/8, Barnaby Jack phát biểu: “Tôi đã đặt mua một số mô hình máy ATM trên mạng và dành hẳn 2 năm tại căn hộ của mình ở Thung lũng Silicon để nghiên cứu nhược điểm của chúng. Kết quả đạt được thành công ngoài mong đợi”.
Barnaby Jack tại hội thảo Black Hat. Ảnh:
AP. Vị giám đốc cho biết chiếc chìa khóa đi kèm với mỗi model máy ATM thuộc cùng một nhà sản xuất mà anh này đã đặt mua đều có thiết kế giống nhau. Jack phát hiện ra điều này bằng cách đặt hàng 3 loại máy ATM từ 3 cơ sở sản xuất khác nhau với mức giá khoảng vài nghìn USD mỗi chiếc, sau đó so sánh mẫu chìa khóa của máy với hình ảnh sản phẩm cùng loại trên Internet.
Nhờ phát hiện này, anh đã sử dụng mẫu chìa khóa có được để mở thành công các máy ATM cùng loại của ngân hàng. "Chỉ cần cắm một thiết bị có chứa chương trình đột nhập được lập trình sẵn vào khe cắm USB của máy ATM, bạn có thể dễ dàng lấy đi toàn bộ số tiền trong đó", Jack nói.
Ảnh:
AP. Một lỗ hổng khác của ATM nằm ở cách thức mà các nhà sản xuất máy rút tiền tự động giao dịch với hệ thống qua Internet. Tuy nhiên, Jack không đi sâu vào chi tiết của vấn đề. Thay vào đó, anh cho hay: “Mục đích bài phát biểu của tôi không phải để dạy người ta cách đột nhập máy ATM. Tôi chỉ đơn thuần muốn cảnh báo các nhà sản xuất hãy nhận thức vấn đề một cách đầy đủ và tích cực hơn trong việc vá lỗ hổng”.
Kurt Baumgartner, chuyên gia an ninh của Kaspersky Lab, cho biết ông thực sự “sốc” sau khi nghe bài phát biểu của Barnaby Jack. Kurt khẳng định, các nhà sản xuất ATM cần phải có biện pháp khắc phục tức thời trước khi hacker kịp manh động.
Ảnh:
AP. Dẫu vậy, ông này vẫn tỏ ra lạc quan khi cho rằng nếu có xảy ra đột nhập máy ATM bằng phương thức trên, hậu quả sẽ không thể lan rộng. Nguyên do là các ngân hàng thường không áp dụng hệ thống ATM đơn lẻ. Hơn thế nữa, Barnaby Jack vẫn chưa hề công khai mã chương trình đột nhập vào hệ thống rút tiền.
Ngày nay, các hình thức tấn công nhằm vào máy ATM tại Mỹ trở nên ngày càng tinh vi, từ việc cài đặt đầu đọc thẻ giả để lấy cắp số card và mã PIN, hay thậm chí dùng xe tải để cày nát máy rút tiền.
30-07-2010, 05:01 PM
Máy ATM có thể bị rút hết tiền vì một số lỗ hổng mới
Barnaby Jack tại hội thảo Black Hat. Ảnh: AP. Vị giám đốc cho biết chiếc chìa khóa đi kèm với mỗi model máy ATM thuộc cùng một nhà sản xuất mà anh này đã đặt mua đều có thiết kế giống nhau. Jack phát hiện ra điều này bằng cách đặt hàng 3 loại máy ATM từ 3 cơ sở sản xuất khác nhau với mức giá khoảng vài nghìn USD mỗi chiếc, sau đó so sánh mẫu chìa khóa của máy với hình ảnh sản phẩm cùng loại trên Internet.
Ảnh: AP. Một lỗ hổng khác của ATM nằm ở cách thức mà các nhà sản xuất máy rút tiền tự động giao dịch với hệ thống qua Internet. Tuy nhiên, Jack không đi sâu vào chi tiết của vấn đề. Thay vào đó, anh cho hay: “Mục đích bài phát biểu của tôi không phải để dạy người ta cách đột nhập máy ATM. Tôi chỉ đơn thuần muốn cảnh báo các nhà sản xuất hãy nhận thức vấn đề một cách đầy đủ và tích cực hơn trong việc vá lỗ hổng”.
Ảnh: AP. Dẫu vậy, ông này vẫn tỏ ra lạc quan khi cho rằng nếu có xảy ra đột nhập máy ATM bằng phương thức trên, hậu quả sẽ không thể lan rộng. Nguyên do là các ngân hàng thường không áp dụng hệ thống ATM đơn lẻ. Hơn thế nữa, Barnaby Jack vẫn chưa hề công khai mã chương trình đột nhập vào hệ thống rút tiền.
Dạng hẹp
