Desvalijan cajeros automáticos inyectando malware vía USB

No es una mala costumbre tapar el teclado numérico o comprobar el lector de tarjetas cuando visitamos el cajero automático. Son precauciones fáciles de tomar y que nos pueden ahorrar un disgusto bastante grave cuando llega el extracto bancario, pero el hack de hoy no ataca a los usuarios de los cajeros como suele ser lo habitual, sino a las propias máquinas, y por extensión al banco. Esto es lo que sucedió con los cajeros de una entidad alemana cuyo nombre no ha sido revelado, y que a mediados de este año se encontró con que una banda con elevados conocimientos técnicos estaba reventando sus cajeros usando los puertos USB integrados y un pendrive cargado de malware. El método ha sido revelado ahora en Hamburgo por expertos en seguridad congregados en el Chaos Computing Congress, donde se ha explicado el sistema en mayor detalle.

De acuerdo con los datos de la presentación, facilitados por dos investigadores anónimos, los ladrones realizaban agujeros en la estructura de los cajeros para acceder a los puertos USB del interior. La mayoría de estas máquinas poseen en su interior un simple PC con alguna de las numerosas versiones de Windows lanzadas durante los últimos años, así que una vez descubierto el puerto, pinchaban una memoria desde la que cargaban un malware personalizado que incluso contaba con su propio menú para especificar la cantidad de dinero deseada y el tamaño de los billetes, de forma que los ladrones podían extraer únicamente los de mayor valor y abandonar el lugar lo antes posible. Finalmente, el malware borraba sus huellas para poder repetir el truco más adelante. La banda solo fue descubierta cuando el banco se dio cuenta de que el dinero de varios cajeros había desparecido por arte de birlibirloque, lo que hizo incrementar las medidas de vigilancia. Posiblemente no hubiera sido necesario si el fabricante de los cajeros hubiera tomado más precauciones, puesto que la viabilidad de este tipo de ataques fue demostrada hace varios añosen la conferencia Black Hat.

La presentación ofrecida en el Chaos Computing Congress no solo pone de manifiesto el atractivo (y la inseguridad) de los cajeros electrónicos para las bandas criminales, sino también que no existe el tan mitificado honor entre ladrones; los cabecillas de la banda no se fiaban del resto, de forma que para evitar que alguno de los miembros clonara un pendrive y se marchara a "trabajar" por su cuenta, el malware solicitaba una contraseña variable que debía ser preguntada por teléfono cada vez que era utilizado.
[Tienes que estar registrado y conectado para ver este vínculo]