Jackpotting : ils pirataient des distributeurs de billets à distance

Jackpottings : huit pirates informatiques, spécialisés dans les distributeurs de billets, arrêtés en Roumanie et en Moldavie. Ils utilisaient un logiciel pirate pour retirer de l’argent des distributeurs de billets. ZATAZ vous fait la démonstration.

La méthode était simple mais terriblement efficace. Elle se nomme le Jackpottings. ZATAZ.COM vous en faisait la démonstration en septembre 2015. Des pirates trouvaient le moyen de s’inviter dans des distributeurs de billets [GAB] en installant un logiciel pirate dans l’informatique du GAB. Comme le montre ma vidéo, un accès à l’ordinateur du GAB était obligatoire. Un CD contenant le code malveillant Tyupkin (découvert par Kaspersky et GData) était installé. Le tour était joué. Le pirate n’avait plus qu’à trouver des mules [personne en charge de blanchir, transporter des produits illicites ou provenant d’actions illégales] pour retirer l’argent.

Jackpotting

Ces dernières recevaient un code particulier, soit par SMS, soit via une application dédiée. Le code, une quinzaine de chiffres, donnait l’ordre au distributeur de billets de fournir autant de billets que décidé par le voleur en chef. L’amateur de jackpotting contrôlait ainsi l’argent volé, aucune trace dans les comptes de la banque n’était visible, et surtout, contrôlait la mule. Le complice ne pouvait pas voler plus d’argent que prévu. Bref, du Piratage d’un distributeur de billets… quasiment sans les mains !

Jackpottings : huit personnes arrêtées

La police Européenne, Europol, via sa section numérique (Europol’s European Cybercrime Centre) vient d’annoncer l’arrestation de huit personnes basées en Roumanie et Moldavie. De présumés pirates, utilisateur de ce code malveillant. Ils auraient réussi, par cette méthode, à voler des millions d’euros de par le monde. Etats-Unis, Asie, Pays de l’Est. Des cas, en France, auraient été repérés. L’attaque a visé des distributeurs de billets de la société américaine NCR. Certains de ces GAB étaient équipés d’une modeste serrure. Un détail pour tout amateur de Lock Picking et autre crochetage de serrure.

Lockpicking contest @hackfest_ca #cyberdéfense #cybersécurité @Damien_Bancal pic.twitter.com/PS8iClO33i

— ZATAZ.COM Officiel (@zataz) 6 Novembre 2015

Jackpottings : informatique tu as, informatique tu contrôleras

Les attaques directes et indirectes à l’encontre des banques et de leurs systèmes sont légions. Les centaines d’applications proposées par les banques, les millions de distributeurs de billets attirent les pirates. L’arrestation de ces huit pirates n’est pas une première. En 2008, je vous expliquais comment deux pirates de distributeurs de billets utilisaient le mot de passe par défaut des distributeurs pour empocher l’argent. Le premier cas ‘public’ d’escroquerie informatique à l’encontre d’un distributeur de billets avait été relevé en 2006, en Virginie. Un pirate avait joué avec le GAB (Guichet Automatique de Billet – ATM) situé dans une station-service. Le bidouilleur avait, sans équipement particulier, réussi à modifier la machine pour lui fournir des billets de 20 dollars alors qu’il demandait 5 dollars. Il avait suffi au voleur de trouver sur Internet le mode d’emploi du distributeur de billets et… de le lire !

Jackpottings : distributeurs de billets, de plats pour restauration rapide, de photos… avant tout des ordinateurs

En 2001, les distributeurs de la société IBM étaient montrés du doigt par deux étudiants de l’université de Cambridge. Un bug permettrait de forcer les codes secrets et de lire les informations lors de la transaction bancaire avec le GAB. En janvier 2003, douze personnes admettaient avoir volé 300 000 livres sterling, soir 452 174 euros, en profitant d’un bug informatique qui avait visé les distributeurs de billets de la société Coventry Building cashpoint. Les GAB donnaient 800 livres sterling (1 200 euros) à chaque fois qu’une carte était insérée dans le distributeur. Même pour un retrait de 10£.

En novembre 2006, nous vous expliquions comment Windows Media Player de Microsoft proposait des billets de banque. Un bug découvert dans un distributeur de billets de la banque de la National City [voir]. Les bornes dédiées à ma restauration rapide (McDonald, Quick…) ou pour l’impression de photos que l’on croise dans les grandes surfaces sont aussi des « objets connectés » à regarder d’un œil suspicieux. Comme je peux vous le montrer, les accès aux administrations sont encore trop faciles en quelques manipulations de « doigts ».