Hackere tømmer minibanker med en drill og en hundrelapp
Fem angrep har vært gjennomført i Norge i 2017.
Det er slutt på den tiden bankranere måtte sprenge safen med dynamitt. I dag kan en mer sofistikert tyv klare seg med en batteridrill og hjemmelaget, elektronisk utstyr til rundt en hundrelapp.
Alt som blir igjen etter tyvene er et hull i fronten av minibanken - som kan skjules med et klistremerke - og en tom pengeskuff.
Fem angrep i Norge
Geir Bonde er leder av operasjonell teknisk infrastruktur i Bits, bank- og finansnæringens infrastrukturselskap.
Han forteller til Side3 at de er klar over metoden. De kjenner til fem slike angrep mot minibanker i Norge.
- To av dem var vellykket, men de fikk med seg minimalt med penger. De hadde laget et hull stort nok til å få en hånd gjennom. Men det trenger ikke å være så stort, forklarer Bonde.
Det er bare plast tyvene trenger å bore seg gjennom, så det er fort gjort når en vet nøyaktig hvor en skal lage hull.
Slik gjør hackerne det
Det er det russiske sikkerhetsselskapet Kaspersky Lab som i begynnelsen av april satt fokus på hackermetoden.
Det hele begynte med at en bank rapporterte om et minibankran, men det eneste sporet av ranerne var et rundt hull på 4 centimeter ved siden tastaturet.
Hvordan hadde ranerne fått pengene ut?
Kasperskys etterforskere har klart å gjenskape metoden, og fikk en minibank til å spytte ut penger på sekunder. De begynte med å undersøke hva som lå under hullet i minibanken, og fant et tilkoblingspunkt som ga tilgang til alle komponentene inne i maskinen.
Det viste seg dessuten at minibankmodellen Kaspersky utførte sine tester på - en vanlig type som har vært i produksjon siden 90-tallet - var utstyrt med svært enkel kryptering som lot seg knekke uten videre om og men.
I praksis kan hackeren da få hvilken som helst del i minibanken til å sende en kommando til en annen del. I dette tilfellet å få dispenseren som spytter ut penger til å tro at den fikk kommandoer fra minibankens datamaskin.
Når elektronikken først var utviklet og koblet til, tok det bare sekunder før minibanken ga fra seg pengene, forteller sikkerhetsselskapet.
Vanskelig å fikse problemet
Bonde forteller at de fem angrepene kom i løpet av en ukes tid.
- Trusselen er relativt liten, og bankene tar problemet svært alvorlig. Hvordan bankene sikrer sine penger blir deres egen vurdering, men vi regner med at alle banker blir sikre etter hvert, sier Bonde.
Han forteller at det er fullt mulig å sikre pengene, både fysisk og logisk.
Ifølge Kaspersky kan det imidlertid være enklere sagt enn gjort.
Programvaren i modellen russerne har jobbet med lar seg ikke oppdatere trådløst, så sikring krever krever en fysisk oppgradering av hver enkelt minibank.
Alternativt kan bankene gjøre det mindre fristende å gå til angrep ved å fysisk sette opp overvåkingskamera og begrense tilgangen til minibanken.
"Fysiske angrep på minibanker er på mange måter et problem uten åpenbare løsninger. Ingen datamaskiner kan anses som sikre dersom en angriper får fysisk tilgang til den", skriver Wired.
- Det som er viktig å understreke her, er at ingen enkeltpersoner blir rammet av et slikt angrep, avslutter Bonde.