Saldırganlar, yalnızca Pazar ve Pazartesi günleri gece geç saatlerde çalışıyor. Herhangi bir kredi kartı kullanmadan ATM‘nin klavyesini kullanarak bir parolayı tuşlayan saldırganlar, bir operatörden diğer talimatları almak için bir arama gerçekleştiriyor ve bir dizi başka sayıyı tuşladıktan sonra ATM bir sürü nakit para vermeye başlıyor. Ardından saldırganlar olay yerinden ayrılıyor.
Peki saldırılar nasıl gerçekleştiriliyor
Suçlular iki aşamalı çalışıyor. Öncelikle, ATM’lere fiziksel olarak erişerek kötü amaçlı yazılımı yüklemek için, Kaspersky Lab tarafından Tyupkin kod adı verilen, önyüklenebilir bir CD yerleştiriyor. Sistemi yeniden başlattıktan sonra etkilenen ATM, artık suçluların kontrolüne geçmiş oluyor.
Başarılı bir işlemden sonra kötü amaçlı yazılım, bir komut bekleyen sonsuz bir döngü içinde çalışmaya başlıyor. Dolandırıcılığın tespit edilmesini zorlaştırmak amacıyla Tyupkin kod adlı kötü amaçlı yazılım, komutları yalnızca Pazar ve Pazartesi geceleri belli saatlerde kabul ediyor. Yalnızca o saatlerde saldırganlar etkilenen makineden para çalabiliyor.
Etkilenen ATM’lerdeki güvenlik kameralarından elde edilen video görüntüleri, makinelerden nakit çekmek için kullanılan metodolojiyi ortaya çıkardı. Her oturum için, rasgele sayılarla benzersiz bir rakam kombinasyonundan oluşan yeni bir parola oluşturuluyor. Böylelikle, bu çetenin dışında herhangi birinin yanlışlıkla yapılan dolandırıcılık işinden kar sağlaması engelleniyor. Ardından kötü niyetli saldırgan, algoritma bilen ve gösterilen sayıya göre bir oturum parolası üretebilecek bir başka çete üyesinden telefonla talimat alıyor. Bu işlem, parayı tahsil eden kuryenin parayla birlikte tek başına ortadan kaybolmamasını garanti ediyor.
Parola doğru girildiğinde ATM, her bir para kutusunda toplam ne kadar nakit olduğunu gösteriyor ve saldırgan bu bilgiye göre hangi kaseti soyacağına karar veriyor. Bundan sonra ATM, seçilen kutudan tek seferde 40 adet banknot veriyor.
