Jackpotting : ils pirataient des distributeurs de billets à distance

Posted On 10 Jan 2016

Tag: banque, distributeur de billets, infiltration, Internet of Things, Jackpotting, piratage

Jackpottings : huit pirates informatiques, spécialisés dans les distributeurs de billets, arrêtés en Roumanie et en Moldavie. Ils utilisaient un logiciel pirate pour retirer de l’argent des distributeurs de billets. ZATAZ vous fait la démonstration.

La méthode était simple mais terriblement efficace. Elle se nomme le Jackpottings. ZATAZ.COM vous en faisait la démonstration en septembre 2015. Des pirates trouvaient le moyen de s’inviter dans des distributeurs de billets [GAB] en installant un logiciel pirate dans l’informatique du GAB. Comme le montre ma vidéo, un accès à l’ordinateur du GAB était obligatoire. Un CD contenant le code malveillant Tyupkin (découvert par Kaspersky et GData) était installé. Le tour était joué. Le pirate n’avait plus qu’à trouver des mules [personne en charge de blanchir, transporter des produits illicites ou provenant d’actions illégales] pour retirer l’argent.

Jackpotting

Ces dernières recevaient un code particulier, soit par SMS, soit via une application dédiée. Le code, une quinzaine de chiffres, donnait l’ordre au distributeur de billets de fournir autant de billets que décidé par le voleur en chef. L’amateur de jackpotting contrôlait ainsi l’argent volé, aucune trace dans les comptes de la banque n’était visible, et surtout, contrôlait la mule. Le complice ne pouvait pas voler plus d’argent que prévu. Bref, du Piratage d’un distributeur de billets… quasiment sans les mains !

Jackpottings : huit personnes arrêtées

La police Européenne, Europol, via sa section numérique (Europol’s European Cybercrime Centre) vient d’annoncer l’arrestation de huit personnes basées en Roumanie et Moldavie. De présumés pirates, utilisateur de ce code malveillant. Ils auraient réussi, par cette méthode, à voler des millions d’euros de par le monde. Etats-Unis, Asie, Pays de l’Est. Des cas, en France, auraient été repérés. L’attaque a visé des distributeurs de billets de la société américaine NCR. Certains de ces GAB étaient équipés d’une modeste serrure. Un détail pour tout amateur de Lock Picking et autre crochetage de serrure.

Lockpicking contest @hackfest_ca #cyberdéfense #cybersécurité @Damien_Bancal pic.twitter.com/PS8iClO33i

— ZATAZ.COM Officiel (@zataz) 6 Novembre 2015

Jackpottings : informatique tu as, informatique tu contrôleras

Les attaques directes et indirectes à l’encontre des banques et de leurs systèmes sont légions. Les centaines d’applications proposées par les banques, les millions de distributeurs de billets attirent les pirates. L’arrestation de ces huit pirates n’est pas une première. En 2008, je vous expliquais comment deux pirates de distributeurs de billets utilisaient le mot de passe par défaut des distributeurs pour empocher l’argent. Le premier cas ‘public’ d’escroquerie informatique à l’encontre d’un distributeur de billets avait été relevé en 2006, en Virginie. Un pirate avait joué avec le GAB (Guichet Automatique de Billet – ATM) situé dans une station-service. Le bidouilleur avait, sans équipement particulier, réussi à modifier la machine pour lui fournir des billets de 20 dollars alors qu’il demandait 5 dollars. Il avait suffi au voleur de trouver sur Internet le mode d’emploi du distributeur de billets et… de le lire !

Jackpottings : distributeurs de billets, de plats pour restauration rapide, de photos… avant tout des ordinateurs

En 2001, les distributeurs de la société IBM étaient montrés du doigt par deux étudiants de l’université de Cambridge. Un bug permettrait de forcer les codes secrets et de lire les informations lors de la transaction bancaire avec le GAB. En janvier 2003, douze personnes admettaient avoir volé 300 000 livres sterling, soir 452 174 euros, en profitant d’un bug informatique qui avait visé les distributeurs de billets de la société Coventry Building cashpoint. Les GAB donnaient 800 livres sterling (1 200 euros) à chaque fois qu’une carte était insérée dans le distributeur. Même pour un retrait de 10£.

En novembre 2006, nous vous expliquions comment Windows Media Player de Microsoft proposait des billets de banque. Un bug découvert dans un distributeur de billets de la banque de la National City [voir]. Les bornes dédiées à ma restauration rapide (McDonald, Quick…) ou pour l’impression de photos que l’on croise dans les grandes surfaces sont aussi des « objets connectés » à regarder d’un œil suspicieux. Comme je peux vous le montrer, les accès aux administrations sont encore trop faciles en quelques manipulations de « doigts ».

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.