Brit biztonsági szakértők egy demonstráció keretében mutatták be, mennyire egyszerűen lehet a legtöbb automatákat (ATM-eket) kínáló bank ügyfeleitől pénzt vagy éppen személyes adatokat lopni. Véleményük szerint a szigetország pénzkiadó automatáinak közel 90 százaléka ellen lenne bevethető valamilyen támadási módszer, leginkább azért, mert közismert asztali technológiákra: Intel hardverre és Microsoft operációs rendszerre épülnek, elégtelen biztonsági beállítások mellett.
Windows XP asztal egy bankautomata képernyőjén
A Network Box szakemberei az automaták hálózati forgalmának kifigyelésével megállapították, hogy azok kizárólag a pénzfelvéthez szükséges PIN számot titkosították a bankkal történő kommunikáció során, minden egyéb személyes adatot kódolatlan formában elküldve. A kártyaszám, a lejárati dátum, sőt még a kártyához kapcsolódó számla aktuális egyenlege is közvetlenül kiolvasható volt a pénzintézet központi szervereivel szabványos internet-protokollon keresztül adatot cserélő ATM géphez kapcsolt eszközzel.
Az éttermekbe, boltokba és egyéb egységekbe kihelyezett automaták pedig még ennél is nagyobb veszélynek vannak kitéve, mint azt a Information Risk Management (IRM) munkatársai bebizonyították, akiknek rendkívül egyszerűen, az automata gyári kézikönyvéből megtudott alapértelmezett biztonsági kódokkal sikerült hozzáférést nyerniük a pénzkiadó masinákhoz. Ezt követően az ATM-re egy saját szoftvert telepítettek, amelyet a felhasználók adatainak naplózása mellett kérésre akár tetszőleges összeű pénz kiadására is utasíthattak.
A cég szakértői szerint a legnagyobb problémát azt jelenti, hogy bár régi, egyedi ATM-eiket a bankok sorozatosan cserélik le a klasszikus asztali PC-s technológiák köré épülő megoldásokra, azok folyamatos frissítésére már nem fordítanak gondot, sőt, jellemzően a megfelelő biztonsági beállítások elvégézéséről sem gondoskodnak. Ennek köszönhetően aztán már akár minimális programozói tudás birtokában is fel lehet törni a pénzkiadó gépeket, ha sikerül hozzáférést szerezni azokhoz.
"Amennyiben valaki egy programozó és rendelkezik valamennyi programozói ismerettel, akkor az egész egy gyerekjáték számára. Ha ugyanis egy támadókód működik az otthoni gépén, akkor az működni fog ezen a bankautomatán is".
