ИБ-специалист Хосеп Родригес продемонстрировал несколько способов манипуляции с банкоматом с использованием смартфона. Он написал мобильное приложение, которое задействует NFC и позволяет неограниченно снимать наличные деньги, снижать комиссию за услуги, сломать или заблокировать терминал и проводить другие действия.

Подписаться на iGuides в Telegram, чтобы узнать обо всем первым — t.me/iguides

Родригес использовал известные уязвимости в протоколе NFC, позволяющие вывести из строя устройство-приёмник отправкой ему большого количества мусорной информации. Специалист оповестил банки об этой проблеме около года назад, и некоторые из них внесли изменения в работу своих банкоматов, однако уязвимость всё ещё актуальна для большинства организаций, поскольку физически невозможно обновить их все даже за такое время. 

Используя метод Родригеса, злоумышленник может оставаться анонимным, ведь ему не нужно вставлять в банкомат карту или подносить её к сенсору NFC — достаточно приложить смартфон с запущенным вредоносным приложением. Родригес называет свой способ банковским джекпотом — по аналогии с игровыми автоматами, позволяющими при определённом везении сорвать большой куш. При удачном стечении обстоятельств можно провести смартфоном у терминала — и в ответ он выдаст пачку денег.

Правда, одного только приложения недостаточно — нужно ещё знать, какие именно уязвимости есть у того или иного банкомата. Подробности об этих уязвимостях специалист не стал раскрывать. Он надеется, что банки более серьёзно отнесутся к этой проблеме и как можно скорее обновят все свои банкоматы.