Sikkerhedsanalytiker: Las Vegas-pengeautomater kan have skadelig software

US Secret Service sagde i mandags, at det undersøger en gruppe af pengeautomater i Las Vegas, der debiterer folks konti, men ikke dispenserer kontanter.

Sagen kom til efterretning efter Defcon Hackekonferencen Chris Paget forsøgte at hæve $ 200 på søndag fra hans konto på Rio All-Suite Hotel og Casino. Han ønskede at købe en metallisk kopi af Bill of Rights, en joke gave til at aflyse lufthavnen metaldetektorer fra tryllekunstnerne Penn og Teller.

ATM'en "whirred and chugged", sagde Paget, "men der kom ingen penge ud. " Hans konto blev dog debiteret.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Han var ikke den eneste. Paget talte med en israelsk mand, der havde forsøgt at hæve $ 1000, samt en kvinde, der forsøgte at tage ud $ 400. Mindst et halvt dusin mennesker oplevede det samme problem på forskellige maskiner på hotellet, sagde Paget.

Paget, der har ekspertise inden for kreditkortsikkerhed og driver et hardware-konsulentfirma for hardware, meddelte hotellets personale, som ikke træffe foranstaltninger for at lukke maskinerne.

"Det bedste, de ville gøre, var at sætte et skilt på ATM'en, der sagde, at de ikke var i orden," sagde Paget. "Vi stod ved pengeautomaterne, der varslede folk." Paget vurderede at afbryde maskinerne, men hotellets sikkerhed fortalte ham, at han potentielt kunne blive retsforfulgt for vandalisme.

Pagets erfaring peger på den stigende hyppighed, hvormed kriminelle retter sig mod pengeautomater. En scam er at vedhæfte en enhed til ATM kendt som en skimmer, der kan optage detaljer, der er gemt på et korts magnetiske stribe. En persons PIN-kode (Personal Identification Number) kan fanges med et overlay på tastaturet eller et videokamera. Derefter kan kortet klones.

Sikkerhedseksperter har også set prøver af ondsindet software designet til pengeautomater, der kan registrere kortoplysninger. Tidligere på året sagde analytikere fra Trustwaves SpiderLabs undersøgelsesgruppe, at malware kom fra en finansiel institution, der var blevet ramt i Østeuropa.

I Pagets tilfælde udtalte en hotelrepræsentant i Rio, at hun ikke var opmærksom på problemet og rådede til at ringe hotellets regnskabskontor senere. En Secret Service Officer i Las Vegas-området bekræftede, at agenturet var ved at undersøge spørgsmålet sammen med Las Vegas Metropolitan Police Department. Paget sagde, at han forladte en telefonsvarer med Federal Bureau of Investigation.

Paget kontaktede også Global Cash Access, et firma, der specialiserer sig i at styre pengeautomater til casinoindustrien. Virksomheden fortalte Paget, at de ikke havde nogen rekord af tilbagekaldelsen, selv om det viste sig, da han kontrollerede sin online-kontoudskrift.

Paget sagde det er muligt, at maskinerne er blevet inficeret med malware. Programmet kunne styre maskinerne for ikke at dispensere kontanter, som derefter afhentes af en insider på svindel, sagde han. Men det er for tidligt at fortælle.

Hvis problemet ikke blot er en fejlfunktion af maskiner, ville det være mindst den anden hændelse af noget sjovt, der foregår med pengeautomater omkring Defcon.

Tidligere i ugen var konferencens deltagere ved Rivieraen Hotel bemærket hvad der var på inspektion en falsk ATM maskine placeret i lobbyen. De skinnede et lys ind på skærmen, hvilket afslørede en pc bagved den. Lovhåndhævelse konfiskerede det senere.

Ironisk nok blev en af ​​de foredrag, der var planlagt til årets Black Hat og Defcon-konferencer, der beskæftiger sig med pengeautomater, aflyst. En forsker med Juniper Networks, Barnaby Jack, skulle beskrive en sårbarhed, der påvirker en populær linje af nye pengeautomater. Men Juniper forhindrede Barnaby fra at give sin præsentation efter den ikke navngivne pengeautomat sælger truede retslige handlinger.