A Diebold Nixdorf publicou ontem um alerta para um novo ataque do gênero blackbox que está atingindo seus caixas automáticos ProCash em países não identificados da Europa. O alerta informa que a maioria dos ataques foi feita sobre terminais ProCash 2050xe USB. Alguns, segundo a empresa, foram bem-sucedidos graças a uma nova maneira de operação: além de utilizar um dispositivo externo, a Diebold suspeita que o dispositivo contenha parte do software do caixa eletrônico atacado.
Em geral, os ataques de blackbox não contêm nenhuma parte do software do caixa eletrônico para fazê-lo despejar o dinheiro: o fraudador conecta o seu dispositivo ao dispenser de cédulas e faz a comunicação diretamente com ele, informou a empresa. Mas ela acrescenta que nos incidentes mencionados no alerta os atacantes estão trazendo sistemas externos: eles violam a parte da frente do caixa para obter acesso físico à parte superior do caixa. Em seguida, desligam o cabo USB entre o dispensador de notas e os circuitos eletrônicos – ou desligam o cabo entre os circuitos eletrônicos e o computador da ATM. O cabo é então ligado à blackbox do atacante para enviar os comandos de liberação do dinheiro.
Veja isso
Falhas permitem ataques a caixas eletrônicos e terminais PoS
Ransomware ataca Diebold Nixdorf, Pitney Bowes, Justiça do Texas
Alguns incidentes indicam que a caixa preta contém partes do software do ATM. No momento, a Diebold Nixdorf está investigando para descobrir de que modo uma parte do software foi parar nas mãos dos fraudadores. Uma das hipóteses investigadas é a da leitura de um disco rígido não criptografado de alguma ATM.
No alerta, a Diebold Nixdorf chama a atenção dos clientes para as recomendações de contramedidas contra os vetores de ataque conhecidos e a importância de sua implementação: “Além disso, a Diebold Nixdorf recomenda urgentemente que os clientes verifiquem se essas contramedidas recomendadas foram colocadas em operação para proteger melhor seu parque de caixas eletrônicos. Onde aplicável, isso também deve incluir a verificação de alertas de eventos irregulares gerados pelo sistema de monitoramento para interromper esses ataques”.