Zaloguj się

Zarejestruj się

DAJ CYNK
Zaloguj się Zarejestruj się
DAJ CYNK

Jak okraść bankomat? Nawet nie trzeba podchodzić

Anna Rymsza

Bezpieczeństwo

Okradał wpłatomaty z kryptowalut

Sieć bankomatów miała lukę, ktoś ją znalazł i wyprowadził sporą sumę. Wszystko odbyło się zdalnie, bo… nie kradł gotówki.

Bankomat z kryptowalutą. Jak to działa?

Zaatakowane bankomaty nie służyły do wypłacania banknotów. Ofiarary ataku to urządzenia firmy General Bytes, w których możesz „wybrać” kryptowaluty. W Polsce stoi kilka kryptomatów tego producenta: w Białymstoku, Krakowie, Łodzi, Trójmieście i Warszawie.

Bankomaty kryptowalutowe General Bytes pozwalają kupić kryptowaluty za gotówkę, a niektóre mają też możliwość wypłacenia gotówki za krypto. Automaty obsługują kilka kryptowalut i oczywiście kilkadziesiąt walut „papierowych” krajów, w których działają. By przeprowadzić transakcję, musisz mieć też kod QR portfela krypto, na który mają zostać przelane cyfrowe pieniądze (lub którym płacisz za walutę fizyczną).

Dziura w centrum sterowania

General Bytes potwierdza, że centrum sterowania automatami miało nieznaną wcześniej lukę, która została wykorzystana przez złodzieja lub złodziei. Na wszelki wypadek maszyny zostały zdalnie wyłączone i będą mogły wrócić do działania, gdy tylko właściciele je zaktualizują.

Zobacz: Jak można okraść bankomat? Okazuje się, że naprawdę łatwo
Zobacz: Jak okraść bankomat? Można nawet na oczach policji

Skuteczny atak został przeprowadzony trzy dni po tym, jak firma wprowadziła możliwość wsparcia obywateli Ukrainy, a więc 5 sierpnia. Kradzieże trwały więc niecałe dwa tygodnie, ale nie wiadomo dokładnie, ile bankomatów zostało naruszonych oraz ile kryptowalut nie trafiło do prawowitych odbiorców. Nie ma też żadnych poszlak wskazujących na to, czy atak ma związek z Ukrainą, czy to zbieg okoliczności.

Trzeba wiedzieć, że bankomaty General Bytes są zarządzane przez Crypto Application Server – to oprogramowanie w chmurze z interfejsem przeglądarkowym, pozwalające właścicielom bankomatów na zdalne zarządzanie flotą. Atakujący przeszukał przestrzeń adresową dostawcy usług chmurowych Digital Ocean i zidentyfikował działające tam aplikacje CAS, należące do właścicieli automatów. Następnie użył strony, która służy do pierwszej konfiguracji świeżo zakupionego bankomatu i tworzenia pierwszego konta administratora. Wykorzystał przy tym lukę, która pozwoliła na utworzenie konta administratora floty.

Tu pojawia się pierwsza niewiadoma: ile instancji CAS zostało skutecznie przejętych? Co za tym idzie, nie wiemy, ile transakcji zostało przechwyconych i ile zarobili cyberprzestępcy. Wiemy za to, jak przebiegało przejęcie kryptowalut. Atakujący modyfikował ustawienia automatów, podając adresy własnych portfeli jako domyślne dla transakcji. Tym sposobem kryptowaluty nie docierały tam, gdzie powinny

General Bytes informuje, że wspomniana wyżej luka 0-day w oprogramowaniu administracyjnym była obecna od 8 grudnia 2020 roku. Właściciele bankomatów powinni zainstalować łatki 20220531.38 i 20220725.22, zanim ponownie udostępnią swoje maszyny klientom. General Bytes podkreśla też, że jej oprogramowanie przechodzi liczne audyty bezpieczeństwa.

Chcesz być na bieżąco? Obserwuj nas na Google News

Źródło zdjęć: sdfg

Źródło tekstu: General Bytes

Tagi: luka 0-day zero-day exploit bankomat pułapka kradzież z bankomatu kradzież kryptowalut kradzież bitcoinów
Wyświetl komentarze

Kredyty gotówkowe

Porównaj wszystkie kredyty w jednym miejscu

Alior Bank
Kredyt ze stałą ratą
RRSO: 10,36%Kwota do zapłaty: 5 799,65 zł

Rata: 161,10 zł

Darmowa porada
Alior Bank
Kredyt konsolidacyjny
RRSO: 10,36%Kwota do zapłaty: 5 799,65 zł

Rata: 161,10 zł

Darmowa porada
Alior Bank
Pożyczka Internetowa
RRSO: 10,36%Kwota do zapłaty: 5 799,65 zł

Rata: 161,10 zł

Darmowa porada

Kredyty dla firm

Porównaj wszystkie kredyty dla firm w jednym miejscu

Nest Bank
BIZnest Kredyt w Ratach - Profesjonalista
Prowizja: 1 995 złWaluta: PLNOkres: 6 miesięcy - 8 lat

Marża: od 0,1%

Darmowa porada
Nest Bank
BIZnest Kredyt w Ratach - Przedsiębiorca
Prowizja: 1 995 złWaluta: PLNOkres: 6 miesięcy - 8 lat

Marża: od 0,1%

Darmowa porada
Alior Bank
Kredyt Inwestycyjny
Prowizja: 150 złWaluta: PLN, EUR, USD, CHF, GBPOkres: maks. 20 lat

Marża: od 0,5%

Konta osobiste

Porównaj wszystkie konta osobiste w jednym miejscu

Toyota Bank
Konto młodzieżowe Click
Konto: 0 złKarta: 0 zł Bankomaty: 0 zł

Koszt miesięczny: 0 zł

Darmowa porada
Crédit Agricole
Konto dla Ciebie GO!
Konto: 0 złKarta: 0 zł Bankomaty: 0-3 zł

Koszt miesięczny: 0 zł

Darmowa porada
Citi Handlowy
CitiKonto
Konto: 0 złKarta: 0 zł Bankomaty: 0-8 zł

Koszt miesięczny: 0 zł

Darmowa porada

Konta dla firm

Porównaj wszystkie konta dla firm w jednym miejscu

Santander Bank Polska
Konto Firmowe Godne Polecenia w "Promocji godnej polecenia"
Konto: 0 złKarta: 0 zł Bankomaty: 0 zł
Załóż firmę z kontem w Santander internet i zyskaj do 1500 zł premii i 300 zł bonus z eKsięgowością< więcej» br> Do 30 września 2023 r.: "Promocja godna polecenia" polega na zwolnieniu klienta z opłat za prowadzenie rachunku bieżącego, przelewy internetowe w PLN, 10 przelewów natychmiastowych bluecash w miesiącu, wydanie i użytkowanie karty do rachunku oraz dodatkowo możliwości uzyskania do 1500 zł premii:
- do 900 zł zwrotu od transakcji (3% od łącznej wartości transakcji bezgotówkowych kartą, maks. 150 zł miesięcznie przez 6 miesięcy) oraz
- 300 zł za podpisanie umowy kredytu z bankiem do 6 miesięcy od przystąpienia do promocji
- 300 zł za zawarcie umowy leasingu bądź pożyczki leasingowej z Santander Leasing do 6 miesięcy od przystąpienia do promocji
300 zł premii za włączenie usług eKsięgowości:
- Do 30 września 2023 r. zarejestruj się w promocji wypełniając formularz promocyjny
- Do 30 września 2023 r. otwórz Konto Firmowe Godne Polecenia i zaakceptuj wymagane zgody
- Do 23 października 2023 r. spełnij warunki promocji
- 13 listopada 2023 r. 300 zł otrzymasz na konto firmowe otwarte w promocji

Koszt miesięczny: 0 zł

Bank Millennium
Konto Mój Biznes w promocji
Konto: 0 złKarta: 0 zł Bankomaty: 0/1 zł
Otwórz Konto Mój Biznes, zaloguj się do aplikacji mobilnej, wpłać na konto min. 1000 zł w każdym z 5 więcej» kolejnych miesięcy, a możesz otrzymać:
• do 300 zł - zwracamy 10% kosztów paliwa (maksymalnie 60 zł/mies. przez 5 miesięcy), jeśli zapłacisz za nie firmową kartą
• do 100 zł (maksymalnie 20 zł/mies. przez 5 miesięcy) - za przelew do ZUS z formularza w Millenecie lub aplikacji
• 600 zł - jeśli podpiszesz umowę o terminal płatniczy i zapewnisz na nim wpływy min. 1000 zł do końca listopada 2023 r.
• 600 zł - jeśli podpiszesz umowę leasingu z Millennium Leasing Sp. z o.o. na kwotę min. 30 000 zł do końca grudnia 2023 r.
• 600 zł - jeśli podpiszesz umowę kredytu firmowego na min. 30 000 zł do końca kwietnia 2024 r.
• do 300 zł (maksymalnie 60 zł/mies. przez 5 miesięcy) - za założenie z nami firmy w Millenecie lub aplikacji
Promocja aktywna do 28.09.2023 r. Limit: 7 500 kont.

Koszt miesięczny: 0 zł

mBank
mBiznes Standard (w promocji)
Konto: 0 złKarta: 0 zł Bankomaty: 0/5 zł
Otwórz konto firmowe za 0 zł na zawsze
Prowadzisz jednoosobową działalność gospodarczą lub sp więcej» ółkę cywilną? Zyskaj bezterminowo
0 zł za prowadzenie konta firmowego
0 zł za pakiet 10 internetowych przelewów krajowych w PLN w każdym miesiącu
0 zł za pakiet 10 internetowych przelewów w EUR do krajów UE oraz Islandii, Norwegii, Lichtensteinu i Szwajcarii w każdym miesiącu
0 zł opłaty miesięcznej za pierwszą kartę debetową do wyboru: Mastercard Debit Business, Visa Business Debit, Mastercard Business WOŚP i Mastercard Business WOŚP Mobilna
Promocja dostępna do 18.09.2023 r.

Koszt miesięczny: 0 zł

Karty kredytowe

Porównaj wszystkie karty kredytowe w jednym miejscu

BOŚ
Karta kredytowa MasterCard Standard
Oprocentowanie: 10.99Okres bezodsetkowy: 56 dni
Jest wygodnym i bezpiecznym narzędziem płatniczym (chargeback i przejęcie przez bank odpowiedzialnoś więcej» i za niautoryzowane transakcje). Gwarantuje większą swobodę, mogąc stanowić źródło dodatkowego finansowania. Przy tym, cechuje ją niska opłata za korzystanie i korzystne warunki zwolnienia. Wyposażona jest dodatowko w:
- program lojalnościowy Pricless Specials z usługą Twoje podróże, dzięki której zgromadzone punkty można wymienić na na bilety lotnicze, noclegi w hotelach, czy wynajem samochodów
- bezpłatne powiadomienia SMS m.in. o wystawieniu wyciągu oraz zbliżającym się terminie i kwocie do spłaty

Maks. limit: 25 000 zł

Darmowa porada
Bank Pocztowy
Karta Kredytowa
Oprocentowanie: 15.25Okres bezodsetkowy: 55 dni

Maks. limit: 20 000 zł

Darmowa porada
ING Bank Śląski
Karta kredytowa MasterCard
Oprocentowanie: 16.50Okres bezodsetkowy: 52 dni
- możliwość automatycznej spłaty zadłużenia z konta osobistego;
- możliwość dokonywania przelew więcej» w z karty kredytowej na dowolny rachunek bankowy w Polsce (poza rachunkami ZUS i US) - możliwość uniknięcia opłaty rocznej;
- brak konieczności posiadania konta osobistego w banku;
- możliwość bezpiecznego płacenia kartą w internecie (zabezpieczenie 3D Secure);
- odzyskanie pieniędzy za niezrealizowane zakupy (chargeback);
- czasowa blokada karty;
- możliwość samodzielnego ustawiania limitów transakcyjnych;
- możliwość dokonywania płatności za pomocą Google Pay, Apple Pay i Garmin Pay;
- usługa "Rozłóż na raty"

Maks. limit: 20 000 zł

Darmowa porada