Amióta léteznek bankautomaták, azóta próbálják kirabolni őket
Az emberiség nagyjából azóta próbálja mások vagyonát ellopni, amióta ismeri a vagyon fogalmát. Mindegy, hogy javakról, tőkefelhalmozásról, értékekről vagy készpénzről beszélünk, a mechanizmus örök: van az enyém, van a másé, a rablás pedig azt célozza, hogy ellenszolgáltatás nélkül elvehessük azt, ami a másé. A bankrablások ebben a sztoriban csak mellékszálat alkotnak; a szerepük csak annyival nagyobb, amennyivel több pénzt tárolnak bankokban, mint bárhol máshol a világon.
A hagyományos bankrablás viszont kockázatos. Túl sok tényezővel kell számolni: a biztonsági személyzettel, a páncélszekrények típusaival, a kamerákkal és a riasztókkal, illetve a kivonuló rendőrséggel. A bankrabláshoz technikai készségek kellenek a biztonsági rendszerek hatástalanításához, stratégiai érzék a menekülési útvonalak megtervezéséhez, empátiahiány a kekeckedő túszok kezeléséhez, lőfegyver és emberölési hajlam a menekülést megakadályozó terrorelhárítás-elhárításhoz. Nehéz szakma – ahogy azt John Dillinger, a viszkis rabló és a KFT együttes is tanúsíthatja.
Egy készpénzkiadó automata feltörése minden szempontból kisebb kockázattal jár. Egyszerűbben befogadható, feldolgozható méretű problémát jelent. Kevesebb és könnyebb kérdéseket kell megválaszolni. Hol van? Beltéri vagy kültéri? Miből van? Milyen vastag a páncélja? Mekkora a tömege? Mivel rögzítik? Mihez rögzítik? Van kamerája? Vannak körülötte kamerák? Mennyi pénz lehet benne? Milyen operációs rendszer fut rajta? Van védelem nélküli USB portja? Sebezhető a firmware-je? Mi hat rá: a jacking, a forking, a légkalapács vagy a markológép?
A pénzautomaták gyakorlatilag számítógéppel kombinált páncélszekrények, így aztán ki a számítógépet, ki a páncélszekrényt próbálja feltörni. Minél diszkrétebb megoldásokkal kísérleteznek, annál kisebb a várható haszon – de annál alacsonyabb a lebukás kockázata is. Az ártatlanabb ATM-hekkelések egy biciklilopás rizikójával járnak (és nagyjából akkora nyereséggel is), míg a legkeményebb lopási kísérletek csak a XIX. századi postakocsirablások eszelősségéhez mérhetők.
Bevezetéstől a bűnözésig
Noha ma már minden banknak van készpénzkiadó automatája, az első ATM-ek bevezetését nem ők kezdeményezték. Sőt, eleinte sem a bankok, sem a potenciális ügyfelek nem értették, hogy mi hasznuk lehet a technológiából. Gyanakodtak rá, nem bíztak benne. „Igenis gyanakszom. A kasszáslány az üveg mögött legalább nem fog meghalni a tranzakció közben” – idézte a New York Times 1977-ben egy detroiti művész aggályait. Ugyanebben a cikkben egy New York-i bank igazgatója értetlenkedett: rendben van, hogy így bárki pénzhez juthat hajnali háromkor, de – így az igazgató – „ugyan hol akarja elkölteni azt a pénzt hajnali háromkor?”
Mint kiderült, sokan voltak, akik tudták, hogy mire és hol akarnak pénzt költeni hajnali háromkor. Az ATM-ek száma szaporodni kezdett. A pénzkiadó automaták bankközi integrációjához persze szükség volt az egységes szabványok lefektetésére, illetve az online kapcsolat kiépítésére; az utóbbiban az IBM vállalt oroszlánrészt. Az 1980-as évekre egyre több, egyre biztonságosabb bankautomata került forgalomba.
A bankok is belátták, hogy egyrészt az ügyfeleiknek is kényelmesebb, ha bárhol készpénzhez juthatnak – anélkül, hogy figyelembe kéne venniük az érthetetlen nyitvatartási időpontjaikat –, másrészt a szolgáltatás automatizálásával és kiszervezésével javíthatják vállalati jelenlétüket, és ehhez még új bankfiókot sem kell nyitniuk. Sőt, az 1990-es években már nemcsak a bankok, hanem a magáncégek is pénzautomatákat telepítettek a forgalmasabb helyekre – utcasarkokra, buszmegállókba, turistahajókra. Ma már mindenhol vannak ATM-ek: az Antarktiszra is jutott kettő a Wells Fargo jóvoltából.
Ezzel párhuzamosan érkezett a bűnözés is, évente több tízmillió dolláros kárt okozva. Nem utal rá semmi, hogy megoldható problémával állnánk szemben. Az ATM-ekre utazó hekkerek kifinomult malware-eket használnak az automaták sebezhetőségeinek kijátszásához, de maguk az automaták nagyrészt változatlanok maradtak.
Észak-Korea beinteget
A pénzügyi tranzakciókra utazó legmodernebb hekkertámadások elsősorban a nemzetközi pénzügyi hálózatot, a SWIFT-et célozzák, ami naponta több billió dollárnyi pénzforgalmat bonyolít. A SWIFT szolgáltatások gyakorlatilag globális üzenetküldő rendszerek, amik a nemzetközi pénzintézetek közti tranzakciókat hitelesítik.
Állítólag a SWIFT központi infrastruktúráját máig nem sikerült feltörni, de a helyi bankhálózatok sebezhetőségét a hekkerek kihasználhatják. És ki is használják: 2016-ban egy, a SWIFT rendszeréhez csatlakozó bangladesi banktól 81 millió dollárt loptak el. Bár a SWIFT rengeteget költ a védelmi mechanizmusok fejlesztésére és a külsős partnerekkel folytatott tranzakciók biztosítására, a támadások egyre kifinomultabbá válnak.
A bankok biztonsági elemzésével is foglalkozó BAE Systems megállapította, hogy a bankok és ATM-ek elleni támadásoknál gyakran találkoznak olyan eszközökkel – például a GraceWire néven ismert malware-rel –, amik egy észak-koreai hekkercsoporthoz, a Lazarushoz köthetők. Ez önmagában is aggasztó fejlemény, de a helyzetet tovább rontja, hogy a bankközi tranzakciókat célzó informatikai eszközöket nemcsak hálózati tranzakciók eltérítéséhez, hanem ATM-ek feltöréséhez is használják.
A néhány hete megrendezett Black Hat és Defcon biztonsági konferenciákon a terület szakértői bemutatták az ATM-hekkelés legújabb fejleményeit. Kevin Perlow, egy nagy pénzügyi magáncég vezető műszakikockázat-elemzője egy tavaly ősszel bemutatott ATM-malware, az INJX_Pure működését elemezte. Ez a kártékony szoftver az XFS (eXtension for Financial Services) interfészt, illetve a banki szoftvert egyaránt manipulálva idézheti elő a jackpotting-ot; így nevezik azt, amikor valaki egy külső eszközzel átveszi az irányítást az ATM-ek fölött, és kicsalja belőle a pénzt.
Az INJX_Pure-t először Mexikóból, majd Kolumbiából töltötték fel őket, de a malware-je látszólag egy bizonyos bank sebezhetőségét célozta. Ez azonban nem jelenti azt, hogy más országok más bankjai biztonságban lennének: júliusban az ATM-gyártó Diebold Nixdorf adott ki figyelmeztetést egy hasonló malware feltűnése miatt, amit egy európai ATM jackpottingjánál használtak, és ugyancsak egy adott bankhálózat belsős szoftverének kijátszását célozta.
A konferencián szóba került a FASTCash malware is, aminek a fejlesztése – az amerikai Belbiztonsági Ügynökség kiber- és infrastruktúra-biztonsági egységei szerint – észak-koreai hekkerek műve. Az első FASTCash-támadást 2018 októberében dokumentálták; azóta több tízmillió dollárt gyűjtöttek be vele világszerte. A FastCASH nem közvetlenül az ATM-eket támadja, hanem egy bankkártya-tranzakciós szabványt, az ISO-8583-at. A malware az úgynevezett fizetési switcheket fertőzi meg, nem az egyes ATM-eket, és emiatt lehet különösen kártékony: egyidejűleg több tucat automata ellen indíthat támadást.
Feszítővassal, hegesztőpisztollyal
A hekkertámadások a készpénzautomaták digitális sebezhetőségét célozzák, az ATM-rablások pedig a fizikaiakat. Bár a platós kisteherautóhoz láncolt, majd elvontatott automatákról készült videók a prérifarkas és a kengyelfutó gyalogkakukkhoz mérhető szórakozást kínálnak, valójában nem is akkora vicc az egész, mint látszik.
- Egy pénzautomata elrablásához figyelembe kell venni, hogy az ATM-et a padlóhoz forrasztották vagy a falhoz csavarozták-e, esetleg használtak-e úgynevezett raminatort, azaz olyan rezgéselnyelő talapzatot, ami megakadályozza, hogy az automatákat kimozdíthassák a helyükről a nekik tolató járművek.
- Aztán ott vannak a kamerák: azok, amiket automatákba telepítettek, és azok, amik a telepített automatákat figyelik. Az utóbbiakat néha a rendőrséghez is bekötik: ők is tudják, hogy az ellenőrizetlen pénzautomaták környékén megszaporodnak a bűnesetek. A rablóknak oda kell figyelniük a beépített riasztóberendezésekre is.
- Egyes ATM-eket szeizmikus érzékelőkkel és hőszenzorokkal is felszerelték, hogy észleljék a támadás során keletkező rezgést és forróságot, és szükség esetén riasszák a hatóságokat.
De tegyük fel, hogy sikerült viszonylag diszkréten kibontani a falból egy gigantikus páncélszekrényt. Ez csak az első lépés: villámgyorsan el is kell szállítani. Egy platós kisteherautó gond nélkül elbír egy ATM-et, ugyanis ezek átlagosan 100-150 kilót nyomnak – hacsak nem bélelik ki őket szándékosan, hogy még nehezebbek, úgy 500 kilósak legyenek. Ha nem, akkor két erősebb ember fellendítheti az automatát a platóra. Padlógáz, menekülés – jöhet a páncélszekrény felnyitása.
Ez nem is olyan egyszerű, mint gondolnánk. Olyan még a hollywoodi filmesek fantáziájában sem létezik, hogy egy feszítővassal nyissanak ki egy páncélszekrényt: ahhoz legalább egy páncélszekrény és egy légkalapács szükséges. Aki elég gyorsan dolgozik, annak az automatát sem muszáj kitépnie a helyéről:
Máskor viszont bonyolultabb eszközök, például elektromos fűrészek, kalapácsok és más berendezések kellenek a sikerhez:
Egyes ATM-ek viszont már egy laptoppal és egy oszcilloszkóppal is kinyithatók. Mivel az oszcilloszkópok észlelhetik az egyes komponensek feszültségét, az ATM-ek zárját vizsgálva megtalálható a páncélszekrény kinyitásához szükséges kombinációt. Máskor azonban a drasztikus módszerek sem elég hatásosak – néha például a dinamit is csődöt mondhat:
Ha nincs pénz, nincs rablás
Ahogy korábban megjegyeztük: ahol készpénz van, ott megjelennek a készpénztolvajok. Az ATM-rablásoknak csak az szabhatna gátat, ha felszámolnánk a készpénzhasználatot. Ez nem az ATM-ek hibája, hanem a készpénzé, ami azért is a bűnözők kedvence, mert névtelen, lenyomozhatatlan és könnyen ellopható. Egy kutatás azt is bebizonyította, hogy a készpénzforgalom és a bűnözés kéz a kézben járnak. Az Egyesült Államokban, ahol a pénzforgalmat az elmúlt fél évszázadban 80-ról 50 százalékra csökkentették az olyan helyettesítő eszközök, mint a csekk, a mobilfizetés, illetve a bank- és hitelkártyák elterjedése, ott a bűnözés mértéke is kimutatható mértékben, ráadásul ezzel összefüggésben esett vissza. (És nemcsak az ATM-eknél elkövetett rablásoké.)
A készpénzhasználat visszaszorulása már most megfigyelhető jelenség. A bostoni Aite Group 2011-ben már azzal számolt, hogy az Egyesült Államok készpénzforgalma 2015-re 200 milliárd dollárral fog csökkenni; a MasterCard szerint az ügyfeleik 80 százaléka készpénzmentes tranzakciókat bonyolít; és jönnek az új mobilfizetéses technológiák, amik száműzik a kereskedelemből a bankkártyát, mint eszközt.
Ennek ellenére valószínűtlen, hogy a készpénz fontossága a jövőben veszítene az értékéből. Egyrészt a készpénzzel való fizetést pszichológiai tényezők is motiválják, ami megnehezíti a készpénzhasználat leváltását, másrészt – egy 2014-es amerikai kutatás szerint – a pénzhasználatnak csak az abszolút értéke csökken, a gyakorisága nem: a kisebb nagyjából 20 dollár értékhatárú tételeket még mindig pénzben fizetjük. És azt se hagyjuk figyelmen kívül, hogy a magyar társadalom nagyjából hatezer milliárd forintnyi megtakarítást őriz otthon, készpénzben. Szóval a pénz nem holnap fog eltűnni: még az Aite Group fentebb említett kutatása is kitért rá, hogy ha a pénzforgalom csökkenésének üteme nem változik az Egyesült Államokban, a készpénzhasználat nagyjából 2205-re érheti el az évi egymilliárd dolláros értékhatárt.
De minél digitálisabbá válik a pénz, annál nagyobb az esélye annak, hogy mások vagyonához csak fehérgalléros hekkerek férhessenek hozzá, és ne vontatóköteles-pickupos zsoldosok. Még azt is megérhetjük, hogy a pendrive-on tárolt kriptovaluta kézzelfoghatóbb érték lesz, mint a bankkártyás fizetés vagy egy köteg húszezres. Sőt, talán azt is láthatjuk, ahogy a technológia a saját farkába harap, és a bűnözők a széfekben tárolt pendrive-okhoz és a digitális pénzügyi tranzakciók adatait tároló merevlemezekhez próbálnak hozzájutni – pickuppal, fűrésszel, dinamittal és légkalapáccsal.
Kapcsolódó cikkek a Qubiten:
