Plofkraken zijn zo 2018, het kan veel makkelijker.
In 2013 moest je nog hele stukken uit een apparaat slaan om een pinautomaat te kunnen hacken, maar dat is tegenwoordig niet nodig meer. Tijdens cybersecurity-conferentie Black Hat 2019 demonstreerden experts van IBM hoe je met Linux aan de slag kan.
Het was een Amerikaans congres, dus men sprak veel over dollars. Om logische redenen zijn de gegevens over de Nederlandse situatie niet al te gedetailleerd te vinden, maar diverse onderzoeken die tijdens de demonstratie aangehaald werden toonden dat dit een wereldwijd probleem is. Het is eigenlijk schokkend eenvoudig.
Het heeft alles te maken met 2 componenten: allereerst het feit dat de pinautomaat een interface is tussen degene die pint en de bank. Het tweede probleem is dat er klaarblijkelijk een veelheid aan stuurprogramma’s bestaat. Sterker nog, de meerderheid zou draaien op Windows XP, dat inmiddels niet meer door Microsoft ondersteund wordt. Aangezien er gemiddeld zo’n $ 200.000,- in een pinautomaat gaat is het dus lucratief om daar wat tech en vliegwerk op los te laten.
Uiteraard krijg je hier geen knutselhandleiding (die krijg je overigens ook niet in het onderstaande filmpje). Het komt erop neer dat de pinautomaat niet registreert wat en hoe er uitgegeven moet worden, maar alleen telt hoeveel biljetten er uit een lade gegeven moeten worden. Het is dan ook belangrijk om de goede valuta in de goede lade te leggen.
Wanneer de bank de transactie heeft geverifieerd geeft deze dus alleen aan dat er 2 biljetten uit lade A mogen worden vrijgegeven. Op dat moment slaat de hacker toe en verandert de code ’02’ in ’10’. De bank heeft geregistreerd dat er 2 biljetten uitgegeven worden. In werkelijkheid geeft de bank er nu 10 uit. Dit kunnen criminelen van huis uit instellen en in pintransacties met handlangers uitvoeren. Onderzoekers stellen dat dit niet opvalt zo lang je niet de hele automaat ineens leeg maakt. Bescheidenheid siert dus ook de criminele mens.
Er is zelfs een andere techniek onder de alles verklappende naam ‘Jackpotting’ die ervoor zorgt dat de pinautomaat uitbetaalt zonder dat je een pasje in de automaat hoeft te doen.
Nu is natuurlijk de vraag waarom banken hier niet harder tegen optreden. Het is, zoals vaak, niet meer dan een simpel kostenverhaal. Het updaten van software moet fysiek gebeuren. Bovendien moet technologie, zoals encryptie ook gekocht worden. Men besluit volgens de onderzoekers dan vaak dat het goedkoper is om de schade voor lief te nemen en de kosten aan de bank door te berekenen als ‘bankkosten’. Soms kan het zelfs de inspiratie zijn voor een geslaagde marketingcampagne.
In dit filmpje zie je hoe makkelijk het is:
Bron: Cnet
