Le banche e i Governi lo ripetono da anni: il contante costa, meglio i pagamenti elettronici. Quello che non viene detto, però, è che se il contante costa è anche perché gli sportelli ATM (Automatic Teller Machine, o Bancomat, come li chiamano tutti in Italia) non sono affatto sicuri. Dentro ogni sportello ATM, infatti, c'è un normale computer sul quale gira il software che gestisce la lettura della carta e l'erogazione del denaro.
Ogni computer può essere hackerato e la maggior parte di quelli che stanno dentro uno sportello ATM usano un sistema operativo vecchio e insicuro: di solito Windows 7, se non addirittura Windows XP
Entrambi questi sistemi operativi hanno raggiunto la loro "end of life": Microsoft non rilascia più aggiornamenti di sicurezza per questi software, quindi ogni nuova vulnerabilità trovata resta irrisolta e pertanto utilizzabile per un attacco hacker. Aggiornarli non è facile, perché dovendo svolgere compiti molto basilari, questi computer hanno anche, spesso, dell’hardware obsoleto. Gli hacker conoscono le vulnerabilità di Windows 7 e XP da anni e le sanno sfruttare benissimo per hackerare i computer con questi sistemi operativi. Già nel 2010, durante la conferenza Black Hat USA, l'esperto di cybersicurezza neozelandese Barnaby Michael Douglas Jack mostrò ai suoi colleghi come hackerare uno sportello ATM: ne portò uno alla conferenza e lo svuotò davanti a tutti dopo aver manomesso il sistema operativo con un malware informatico.
Come rubare i soldi da un ATM
Ci sono fondamentalmente tre modi per sottrarre illecitamente i soldi presenti dentro uno sportello ATM: asportarlo dalla sua postazione, usare una carta clonata o hackerare il PC dello sportello.
Il primo metodo prevede l'uso di un carrello elevatore, un camion e possibilmente dell'esplosivo per staccare lo sportello dal muro nel quale è incastonato. Una volta "liberato" l'ATM lo si carica sul camion e lo si porta in un posto sicuro, dove si procederà ad aprirlo con la fiamma ossidrica. Un metodo decisamente 1.0, quindi.
Il secondo metodo è più moderno e consiste nel clonare una carta di debito e usarla per prelevare. In questo caso, però, il bottino sarà assai più esiguo perché non si potrà prelevare tutto il denaro contante presente nello sportello: tutte le carte hanno infatti un tetto massimo di contante prelevabile per singola operazione, un tetto giornaliero ed uno mensile.
Non è poi neanche detto che nel conto corrente collegato alla carta ci sia molto denaro, né che il legittimo proprietario della carta non si accorga che qualcosa non va (con conseguente blocco immediato della carta stessa).
Il terzo metodo è il più evoluto di tutti e prevede la manomissione del sistema operativo dello sportello, tramite un malware. Per farlo serve una chiavetta di manutenzione, per aprire lo sportellino che protegge le porte di comunicazione tramite le quali i tecnici autorizzati accedono al computer contenuto all’interno lo sportello ATM.
Una volta avuto accesso alla porta, che quasi sempre è una USB, basta sfruttare una o più vulnerabilità già note del suo sistema operativo per iniettare il malware che permetterà al ladro-hacker di prendere il controllo dell'applicazione software che gestisce l'erogazione del denaro.
Tutto il denaro contenuto nello sportello sarà a disposizione del ladro, non solo quello prelevabile con una o più carte, e può trattarsi anche di decine di migliaia di euro in un colpo solo. L'unica accortezza che serve per accedere al computer di un ATM, però, è quella di conoscerne preventivamente il modello per procurarsi la chiave di manutenzione corretta.
Non ci vuole poi molto: basta passarvi di fronte, o, ancora meglio, “visitarlo virtualmente” con Google Street View.
Diventare ricchi con un Raspberry Pi
Per molti anni questo tipo di operazione criminale è stato messo a segno usando laptop per collegarsi al PC dello sportello ATM. L'evoluzione della tecnologia ha semplificato ulteriormente l'impresa, rendendola persino più economica: non serve più un computer portatile, basta un ancor più economico microcomputer Raspberry Pi, alimentato a batteria. Un Raspberry Pi, tra l'altro, è molto più piccolo di un laptop e ben più comodo da portare sul luogo del delitto.
Per comprare un Raspberry Pi di ultima generazione oggi si spendono, a seconda del modello, circa 50-100 euro, per comprare il malware sul Dark Web ci vogliono 200-1.000 euro (dipende molto da marca e modello dell'ATM da hackerare). Per comprare la chiavetta dello sportello non si spendono più di 50 euro.
L'investimento complessivo va quindi da un minimo di circa 300 euro ad un massimo di 1.200 euro, mentre il potenziale bottino ha un solo limite: la quantità di soldi presenti nello sportello.
I criminali esperti, però, sanno che ci sono giorni e luoghi in cui gli sportelli ATM contengono più denaro: gli ATM nelle vie dello shopping durante il periodo delle feste di Natale e quelli nei centri commerciali durante il Black Friday, ad esempio, vengono caricati con una quantità di denaro superiore al normale perché dovranno far fronte ad una quantità di prelievi ben maggiore del consueto.
Infine, va anche aggiunto che con un solo Raspberry Pi, con la stessa chiavetta e con lo stesso malware si possono hackerare decine di ATM dello stesso modello: l'unico limite, una volta comprato tutto il necessario, è la capacità di non farsi prendere.