LAS VEGAS (AP) — Seorang peretas telah menemukan cara untuk memaksa ATM menarik uang tunai mereka dengan membajak komputer di dalamnya.

Serangan itu didemonstrasikan di ATM yang berdiri sendiri pada hari Rabu. Tapi mereka berpotensi digunakan melawan ATM yang dioperasikan oleh bank-bank arus utama.

Penjahat telah lama mengetahui bahwa ATM tidak dapat dirusak.

Ada banyak jenis serangan yang digunakan saat ini, mulai dari yang canggih hingga yang konyol: memasang pembaca kartu palsu untuk mencuri nomor kartu, menyembunyikan kamera pengawas kecil untuk menangkap kode PIN, menutupi slot pengeluaran untuk mencegat uang, dan bahkan mengangkut ATM dengan harapan bisa pecahkan mereka nanti.

Peretas Barnaby Jack menghabiskan dua tahun bermain-main dengan ATM yang dibelinya secara online di apartemennya di Silicon Valley. Ini adalah mesin yang berdiri sendiri, jenis yang terlihat di luar toko serba ada, bukan di cabang bank.

Tujuannya adalah menemukan cara untuk mengendalikan ATM dengan mengeksploitasi kelemahan pada komputer yang menjalankan mesin tersebut.

Dia menunjukkan hasilnya di konferensi Black Hat, pertemuan tahunan yang didedikasikan untuk mengungkap kerentanan keamanan komputer terbaru.

Serangannya memiliki implikasi luas karena memengaruhi berbagai jenis ATM dan mengeksploitasi kelemahan perangkat lunak dan langkah-langkah keamanan yang digunakan di seluruh industri.

Pidatonya adalah salah satu yang paling dinantikan dari konferensi tersebut, yang telah ditarik setahun yang lalu karena kekhawatiran bahwa perbaikan ATM tidak akan tepat waktu. Dia menggunakan tahun ekstra untuk membuat serangan yang lebih berbahaya.

Jack, yang bekerja sebagai direktur penelitian keamanan untuk IOActive Inc. yang berbasis di Seattle, menunjukkan dalam demonstrasi teater dua cara dia bisa mendapatkan ATM untuk mengeluarkan uang:

– Jack menemukan bahwa kunci fisik yang disertakan dengan mesinnya sama untuk semua jenis ATM yang dibuat oleh produsen tersebut. Dia mengetahuinya dengan memesan tiga ATM dari produsen berbeda masing-masing seharga beberapa ribu dolar. Kemudian dia membandingkan kunci yang dia temukan dengan gambar kunci lain yang ditemukan di Internet.

Dia menggunakan kuncinya untuk membuka kunci kompartemen di ATM yang memiliki slot USB standar. Dia kemudian memasukkan program yang dia tulis ke salah satunya dan memerintahkan ATM untuk membuang brankasnya.

– Jack juga meretas ATM dengan mengeksploitasi kelemahan cara produsen ATM berkomunikasi dengan mesin melalui Internet. Jack mengatakan masalahnya adalah orang luar diizinkan untuk melewati kebutuhan akan kata sandi. Dia tidak merinci lebih jauh, karena dia mengatakan tujuan pidatonya “bukan untuk mengajari semua orang cara meretas ATM. Ini untuk mengangkat masalah dan memungkinkan produsen ATM untuk proaktif menerapkan perbaikan.”

Gaya serangan jarak jauh lebih berbahaya karena penyerang tidak perlu membuka ATM.

Hal ini memungkinkan penyerang untuk mendapatkan kendali penuh atas ATM. Selain memerintahkannya untuk mengeluarkan uang, penyerang dapat mengambil data akun secara diam-diam dari siapa pun yang menggunakan mesin tersebut. Ini juga mempengaruhi lebih dari sekedar ATM mandiri yang rentan terhadap serangan fisik; metode ini berpotensi digunakan terhadap jenis ATM yang digunakan oleh bank arus utama.

Jack berkata dia tidak berpikir dia akan bisa memecahkan ATM ketika dia pertama kali mulai menyelidikinya.

“Tanggapan saya adalah, ‘ini adalah kerentanan game-over di sini,'” katanya tentang peretasan jarak jauh. “Setiap ATM yang saya lihat, saya dapat menemukan bug. Itu hal yang menakutkan.”

Kurt Baumgartner, seorang peneliti keamanan senior di pembuat perangkat lunak antivirus Kaspersky Lab, menyebut demonstrasi itu “menarik” dan mengatakan penting untuk meningkatkan keamanan mesin yang masing-masing dapat menyimpan uang tunai puluhan ribu dolar. Namun, dia mengatakan dia tidak berpikir itu akan menghasilkan serangan yang meluas karena bank tidak menggunakan sistem mandiri dan Jack belum merilis kode serangannya.

Jack tidak akan mengidentifikasi pembuat ATM. Dia menempelkan stiker di atas nama pembuat ATM di dua mesin yang digunakan dalam demonstrasinya. Tetapi penonton, yang bertepuk tangan meriah saat mesin itu mengeluarkan uang, dapat melihat dari petunjuk di layar di ATM bahwa salah satu mesin itu dibuat oleh Tranax Technologies Inc., yang berbasis di Hayward, California. Tranax tidak segera menanggapi pesan email dari The Associated Press.

Triton Systems, dari Long Beach, Miss., membenarkan bahwa salah satu ATMnya digunakan dalam demonstrasi tersebut. Dikatakan Jack memberi tahu perusahaan tentang masalah tersebut dan bahwa Triton sekarang memiliki pembaruan perangkat lunak yang mencegah perangkat lunak tidak sah berjalan di ATM-nya.

Bob Douglas, wakil presiden teknik Triton, mengatakan pelanggan dapat membeli ATM dengan kunci unik tetapi biasanya tidak, karena lebih memilih memiliki kunci utama untuk biaya dan kenyamanan.

“Bayangkan jika Anda memiliki beberapa ribu ATM dan Anda ingin mengakses 20 atau lebih dalam satu hari,” tulisnya dalam email ke AP. “Ini akan menjadi mimpi buruk logistik untuk memiliki semua kunci yang tepat di tempat yang tepat pada waktu yang tepat.”

Produsen ATM lain yang dihubungi AP juga tidak segera membalas pesan tersebut.

Jack mengatakan pabrikan yang mesinnya dia pelajari menerapkan perbaikan perangkat lunak untuk kedua kerentanan, tetapi menambahkan bahwa prevalensi perangkat lunak manajemen jarak jauh membuat ATM terbuka lebar untuk serangan peretas.