Lúc 10 giờ một ngày cuối tháng 11/2018, nhân viên ngân hàng tại Freiburg, Đức phát hiện thấy hệ thống báo cây ATM đã gặp lỗi. Vụ việc đã được trình báo lên cơ quan chức năng, theo kết quả kiểm tra, máy ATM đã bị nhiễm một loại malware có tên “Cutlet Maker”, có khả năng điều khiển máy ATM trả ra tất cả tiền (hiện có) trong thiết bị. Đến nay, việc sử dụng malware Cutlet Maker để thực hiện các vụ việc tương tự đang thực sự xảy ra trên toàn thế giới chứ không chỉ ở riêng nước Đức. Việc sở hữu malware này ngày một dễ lại càng tăng tốc độ lây lan trên toàn thế giới.

Vào thời điểm vụ tấn công xảy ra tại Đức, khi đó màn hình máy ATM hiện dòng chữ “ Ho-ho-ho! Let's make some cutlets today!”, (có nghĩa là Ho-ho-ho! Hãy bắt tay vào làm món cutlet nào!) kèm theo đó đó là hình ảnh hoạt họa của một đầu bếp và một miếng thịt đang tươi cười. Từ “cutlet” ở đây có hai nghĩa, một là món ăn làm từ thịt, hai là tiếng lóng của người Nga có nghĩa là “một cục tiền”. 

Màn hình máy ATM khi bị malware Cutlet Maker tấn công

Phương thức ăn cắp tiền mới này được gọi là “jackpotting”, bắt đầu xuất hiện tại các máy ATM ở Đức từ năm 2017. Tổng thiệt hại trong giai đoạn này lên tới hơn một triệu Euro. Jackpotting tiên tiến hơn nhiều những cách thức ăn cắp trước đây, bởi lẽ nó không cần tới sự hiện diện của thẻ ngân hàng, tin tặc chỉ cần dùng USB để cài malware vào ATM, tất cả tiền trong máy sẽ tuôn ra.

Mới đây, trang tin Motherboard cộng tác với phóng viên Bayerischer Rundfunk tới từ Đức vừa khám phá ra thêm những tình tiết mới trong những vụ jackpotting đang xuất hiện ngày một nhiều này.

Trong một số trường hợp, nhóm phóng viên có thể xác định được chính xác những ngân hàng nào bị tấn công, những mẫu máy ATM nào dễ bị tấn công. Mặc dù đã có một tổ chức phi lợi nhuận tại Châu Âu khẳng định rằng số lượng các vụ jackpotting đã giảm nhiều trong nửa đầu năm nay, thế nhưng đấy chỉ là số liệu tại Châu Âu. Tuy nhiên trong thực tế, nhiều nguồn tin khẳng định rằng jackpotting đang lây lan ra nhiều khu vực khác. Nó đã xuất hiện tại Mỹ, Mỹ Latinh và Đông Nam Á, ảnh hưởng nặng nề tới ngân hàng nói riêng và nhà sản xuất ATM trên ngành công nghiệp tài chính.

Các tấn công máy ATM bằng malwave đang lan rộng trên toàn cầu

Tại hội nghị an ninh mạng Black Hat 2010, nhà nghiên cứu bảo mật quá cố Barnaby Jack đã tiến hành hack máy ATM ngay trên sân khấu bằng một loại malware do ông tự tạo ra. Màn hình máy ATM khi đó hiện ra chữ “JACKPOT” và đẩy ra một dòng tiền giấy, trước những tràng pháo tay của người xem. Còn hiện tại, loại malware này đã hiện hữu và đang lây lan ngày một rộng rãi.

Trong vụ việc xảy ra ở Freiburg đã nêu ở đầu bài viết, tin tặc đã không lấy được đồng nào. Thế nhưng theo Christoph Hebbecker, một luật sư Đức cho biết, văn phòng của ông đang theo sát một loạt vụ tương tự; từ thời điểm tháng 2 đến tháng 11/2017, đã có tổng cộng 10 vụ jackpotting diễn ra. Tổng số tiền tin tặc đã lấy được chạm mốc 1,4 triệu Euro.

Luật sư Hebbecker nói thêm rằng những vụ đánh cắp tiền này đều giống nhau, ông tin rằng chúng đều có liên quan tới một tổ chức tội phạm nào đó. Bên điều tra có thu được một vài video về hành động của kẻ gian, tuy nhiên họ chưa tìm ra được nghi phạm. Nhiều nguồn tin khác cho biết thêm những vụ tấn công máy ATM trong năm 2017 ảnh hưởng trực tiếp tới ngân hàng Santander; trong đó có những nguồn tin nêu cụ thể rằng phương pháp jackpotting ảnh hưởng tới các máy ATM mẫu Wincor 2000xe, do công ty Diebold Nixdorf sản xuất.

Máy ATM phổ biến bị tấn công bằng malwave

Thời điểm đó ngân hàng Santander cũng đã có tuyên bố chính thức, trấn an khách hàng về những vụ việc jackpotting đang diễn ra ngày một nhiều. Chính quyền thành phố Berlin cũng công bố họ đã phát hiện tổng cộng 36 vụ jackpotting tính từ mùa xuân năm 2018 và có vài ngàn Euro đã bị đánh cắp từ các máy ATM. Tuy nhiên họ không công bố cụ thể loại malware nào đã gây ra các vụ jackpotting. Tính từ ngày phương pháp ăn cắp tiền này xuất hiện, nước Đức đã có 82 vụ việc, tuy nhiên không phải vụ nào cũng thành công.

Có một điều quan trọng cần phải nhấn mạnh: đó là phương pháp jackpotting không bị giới hạn bởi ngân hàng hay mẫu máy ATM. Chắc chắn có những ngân hàng khác ngoài Santander bị ảnh hưởng và những máy ATM khác ngoài của Diebold Nixdorf bị tấn công. Nguy hiểm hơn, phương pháp này (và cũng rất có thể là malware Cutlet Maker) đã và đang có xu hướng ảnh hưởng và lan rộng trên toàn thế giới.

Một phần lỗi thuộc về phần mềm có trên những chiếc máy ATM đã cũ, chạy phần mềm cũ và chậm. Các công ty sản xuất máy ATM khẳng định đã có nhiều cải tiến bảo mật, nhưng trong thực tế vẫn còn rất nhiều máy ATM cũ vẫn đang hoạt động, tiềm ẩn nhiều rủi ro. Bên cạnh đó, không chỉ người sản xuất máy có trách nhiệm bảo vệ tài sản của mình mà các ngân hàng cũng phải chung tay trong việc này.

Cùng thời điểm các vụ jackpotting diễn ra năm 2017, các nhà nghiên cứu bảo mật tại Kaspersky đã công bố một báo cáo cho thấy phần mềm Cutlet Maker đã được rao bán trên các forum từ hồi tháng 5/2017 với giá chỉ khoảng 1000 USD. Điều này đồng nghĩa với việc Cutlet Maker có thể phát tán đi bất cứ địa phương nào, không chỉ riêng tại Châu Âu.

Nhóm phóng viên của Motherboard đã thử liên hệ với một tài khoản forum đăng tin bán Cutlet Maker. Người bán đã viết mail cho phóng viên, nói thêm rằng chỉ với 1000 USD là có thể sở hữu malwave này và họ có thể hướng dẫn cách sử dụng luôn. Họ cung cấp ảnh chụp màn hình hướng dẫn sử dụng bằng tiếng Nga và tiếng Anh, chỉ ra từng bước cần thực hiện để rút ruột một máy ATM. Trong hướng dẫn, có cả phần kiểm tra máy có bao nhiêu tiền và cách cài cắm malware vào máy.

Người dùng có thể dễ dàng mua và được hướng dẫn cụ thể cách sử dụng malwave để lấy trộm tiền từ máy ATM

Hiệp hội Giao dịch bảo mật châu Âu (EAST), tổ chức phi lợi nhuận chuyên theo dõi các giao dịch lừa đảo, công bố rằng các vụ việc jackpotting đã giảm 43% tính từ năm 2018 đến nay nhưng đây mới chỉ là số liệu tại Châu Âu. Việc malware ngày càng dễ tiếp cận, với giá rất rẻ so với những gì chúng mang lại sẽ khiến việc lây lan dễ dàng hơn trước nhiều. Tháng 1/2018, Mật vụ Hoa Kỳ cảnh báo các cơ quan tài chính trong nước về vụ việc jackpotting đầu tiên xuất hiện tại Mỹ, với một malware có tên Ploutus.D, chưa rõ đây là biến thể của Cutlet Maker hay là một malware hoàn toàn mới, thuộc một tổ chức jackpotting khác. Nhưng đây là một minh chứng cho việc jackpotting đang lây lan mạnh mẽ trên toàn cầu. Các tổ chức tài chính, ngân hàng và cơ quan thực thi pháp luật cần sớm có các biện pháp mạnh mẽ hơn để có thể đảm bảo an toàn tài sản của mình.