Nhà nghiên cứu bảo mật hack dễ dàng máy ATM bằng ứng dụng Android và giao thức thanh toán NFC

Một hacker đã chứng minh bạn có thể hack máy rút tiền hay bất kỳ hệ thống điểm bán hàng (point-of-sale , POS) chỉ bằng cách lướt nhanh điện thoại qua đầu đọc thẻ không chạm NFC.

Có lẽ ai cũng đã từng ước mơ trở thành hacker để có thể rút tiền từ ATM thoải mái mà không lo về số dư tài khoản. Nhiều người đã tìm đủ mọi cách để lợi dụng các lỗ hổng trên ATM bằng cách can thiệp phần cứng. Giờ đây, một chuyên gia an ninh đã chứng minh bạn có thể hack máy rút tiền hay bất kỳ hệ thống điểm bán hàng (point-of-sale, POS) chỉ bằng cách lướt nhanh điện thoại qua đầu đọc thẻ không chạm NFC - giao thức thanh toán c

Nhà nghiên cứu bảo mật hack dễ dàng máy ATM bằng ứng dụng Android và giao thức thanh toán NFC - Ảnh 1.

Bạn có thể hack máy rút tiền hay bất kỳ hệ thống điểm bán hàng (point-of-sale, POS) chỉ bằng cách lướt nhanh điện thoại qua đầu đọc thẻ không chạm NFC.

Theo Wired đưa tin, Joseph Rodriguez, một chuyên gia tư vấn về an ninh số tại công ty IOActive đã tìm ra cách lợi dụng lỗ hổng trong hệ thống NFC của các máy ATM và hệ thống POS được ứng dụng trong khắp các cửa hàng, siêu thị, nhà hàng… Anh đã sử dụng một ứng dụng Android được lập trình để gài các đoạn mã gây ra đủ thứ lỗi vào các chip xử lý trên đầu đọc NFC của các thiết bị trên. Sau khi gặp lỗi, anh có thể thu thập dữ liệu thẻ tín dụng, thay đổi giá trị giao dịch, thậm chí trúng mánh lớn bằng cách khiến các máy ATM “phun” ra tiền tùy ý. Tuy nhiên, với máy ATM thì anh còn phải thao túng các lỗ hổng có sẵn trong phần mềm máy ATM.

“Bạn có thể thay đổi firmware và thay đổi giá sản phẩm có giá 50 USD xuống còn 1 USD, trong khi màn hình vẫn hiện là bạn đã trả 50 USD. Bạn còn có thể vô hiệu hóa thiết bị hay cài đặt các phần mềm độc hại cho phép khóa cứng thiết bị cho tới khi nạn nhân trả tiền chuộc. Có rất nhiều cách để chuộc lợi từ đây. Nếu bạn tấn công liên tục và tải lên một đoạn mã đặt biệt tới máy tính trong ATM, bạn có thể rút tiền thoải mái, chỉ cần ấn vài nút trên điện thoại”, Rodriguez cho biết.

Nhà nghiên cứu bảo mật hack dễ dàng máy ATM bằng ứng dụng Android và giao thức thanh toán NFC - Ảnh 2.

Nếu bạn tấn công liên tục và tải lên một đoạn mã đặt biệt tới máy tính trong ATM, bạn có thể rút tiền thoải mái, chỉ cần ấn vài nút trên điện thoại.

 

Rodriguez bắt đầu nghiên cứu về khả năng hack đầu đọc thẻ NFC trên máy ATM bằng cách thử nghiệm trước trên các đầu đọc thẻ NFC và thiết bị POS mua trên mạng. Anh sớm nhận ra rằng hầu hết các thiết bị này không xác thực kích thước gói dữ liệu được truyền đi qua NFC từ thẻ tín dụng tới đầu đọc. Bằng một ứng dụng Android đã được tùy chỉnh, anh có thể gửi một gói dữ liệu lớn hơn hàng trăm lần dung lượng mà đầu đọc thẻ nghĩ là mình đang nhận, gây ra lỗi tràn bộ nhớ - một lỗi phần mềm “xưa như trái đất”, cho phép hacker gây lỗi bộ nhớ thiết bị và cho phép chạy một đoạn mã tùy ý.

Rodriguez đã thông báo tới các hãng sản xuất thiết bị về lỗ hổng bảo mật này một năm về trước, nhưng anh cho biết lượng thiết bị cần được cập nhật phần cứng nhiều đến mức sẽ cần rất nhiều thời gian để khắc phục hoàn toàn lỗ hổng này. Sự thực là nhiều thiết bị POS còn không được cập nhật phần mềm thường xuyên, khiến cho rủi ro này nghiêm trọng hơn bao giờ hết.

Nhà nghiên cứu bảo mật hack dễ dàng máy ATM bằng ứng dụng Android và giao thức thanh toán NFC - Ảnh 3.

Sự thực là nhiều thiết bị POS còn không được cập nhật phần mềm thường xuyên, khiến cho rủi ro này nghiêm trọng hơn bao giờ hết.

Joseph đã giữ kín các phát hiện của mình trong suốt một năm, đến giờ mới chia sẻ các thông tin kỹ thuật công khai nhằm thúc đẩy các nhà sản xuất thiết bị nhanh chóng vá lỗi.

(Theo Pháp luật & Bạn đọc, Android Authority)

Cảnh báo nguy cơ thẻ ATM bị đánh cắp dữ liệu

Cảnh báo nguy cơ thẻ ATM bị đánh cắp dữ liệu

ictnews Ngày 27/4, VietinBank đưa ra cảnh báo về nguy cơ đối tượng xấu thực hiện skimming (đánh cắp dữ liệu, làm thẻ giả và rút tiền trái phép) tại hệ thống ATM các ngân hàng.

Chủ đề : hackATM
 
List comment
 

Samsung cho biết hacker xâm phạm dữ liệu nội bộ của công ty, tiếp cận một số mã nguồn của thiết bị Galaxy.  

 

Bước nhắn tin xác thực gửi đầu số 8100 để kích hoạt tài khoản thi “Học sinh với An toàn thông tin” năm 2022 đã được Ban tổ chức lược bỏ để tạo thuận tiện cho các thí sinh trong việc đăng ký tài khoản dự thi.

 

Kẻ gian mạo danh nhân viên chăm sóc khách hàng, yêu cầu người dùng nhắn tin theo cú pháp, sau đó chiếm đoạt tiền bằng nhiều cách.

 

Theo đánh giá của Gartner, kiến trúc lưới an ninh mạng - một bộ công cụ bảo mật tích hợp và tiên tiến về công nghệ, là 1 trong những xu hướng an ninh mạng hàng đầu trong năm 2022.

 

Trong 2 tháng đầu năm nay, đã có 2.643 cuộc tấn công mạng gây ra sự cố vào các hệ thống thông tin tại Việt Nam. Như vậy, trung bình mỗi ngày các hệ thống thông tin trong nước phải hứng chịu 44,7 sự cố tấn công mạng.

 
 

Thời điểm hiện tại, các thí sinh THCS trên cả nước đã có thực hiện bài thi chính thức trên hệ thống thi trực tuyến của cuộc thi “Học sinh với An toàn thông tin” năm 2022.

Hội thảo “Cải thiện năng lực phòng thủ thông qua hoạt động triển khai diễn tập thực chiến an toàn thông tin”, nhằm giúp cho 19 Sở TT&TT khu vực miền Trung và Tây Nguyên hiểu và khai thác hiệu quả phương thức diễn tập thực chiến.

'Amazon luôn giúp đỡ và sát cánh cùng người dân Ukraine', đó là phát biểu của CEO Amazon, ông Andy Jassy, giữa căng thẳng quân sự leo thang giữa Nga và Ukraine.

Vụ tấn công mạng vào một đối tác của Toyota khiến hãng xe này phải tạm dừng sản xuất 1 ngày đã bộc lộ một điểm yếu trong chuỗi cung ứng.  

Hơn 200 cán bộ đại diện cho các thành viên mạng lưới ứng cứu sự cố, các tổ chức, doanh nghiệp an toàn thông tin tại Việt Nam vừa tham gia “Khóa đào tạo trực tuyến về an toàn mạng quốc tế ASEAN-Trung Quốc” do VNCERT/CC và CNCERT tổ chức.

 
123

Giấy phép hoạt động báo chí: Số 09/GP-BTTTT, Bộ Thông tin và Truyền thông cấp ngày 07/01/2019.

Tòa soạn: Tầng 7, Tòa nhà Cục Tần số Vô tuyến điện, 115 Trần Duy Hưng, Quận Cầu Giấy, Hà Nội

Điện thoại: 024 3 936 9966 - Fax: 024 3 936 9364

Hotline nội dung: 0888 911 911 - Email: toasoan@ictnews.vn

123