ATM Hacking: ব্যাংকের এটিএম মেশিন থেকে ডিজিটাল উপায়ে অর্থ চুরির পদ্ধতি!
ATM Jackpotting, skimming, এবং network-based attack—আধুনিক ATM hacking-এর সব কৌশল এবং financial institution-এর প্রতিরোধ strategy।
বিশ্বজুড়ে ৩০ লক্ষেরও বেশি ATM মেশিন প্রতিদিন কোটি কোটি transaction process করে। আপনার নিকটতম bank-এর সামনের ATM থেকে শুরু করে দূরবর্তী petrol station-এর white-label ATM—সবকিছুই একই principle-এ চলে: একটি specialized computer যা cash dispense করে। কিন্তু এই apparently simple device-এর পেছনে রয়েছে multiple operating system, network protocol, hardware component এবং security control। আধুনিক ATM hacking একটি sophisticated discipline যেখানে hardware engineering, software exploitation, এবং social engineering-এর সমন্বয় ঘটে। এই নিবন্ধে আমরা ATM-এর internal architecture, প্রচলিত attack vector, এবং financial institution-এর defensive measure বিশ্লেষণ করব।
ATM-এর Internal Architecture
একটি modern ATM মূলত একটি Windows বা Linux-based computer যা specialized peripheral-এর সঙ্গে connected। NCR, Diebold Nixdorf, Wincor Nixdorf (এখন Diebold-এর অংশ), এবং Hitachi—এরা প্রধান ATM manufacturer।
ATM-এর core component:
- PC Core: সাধারণত Windows 10 IoT (পূর্বে Windows XP/7, এখনও অনেক জায়গায় ব্যবহৃত), Intel-based hardware।
- Cash Dispenser (CDM): Physical mechanism যা cassette থেকে note dispense করে।
- Card Reader: Magnetic stripe এবং/বা EMV chip read করে।
- PIN Pad (EPP - Encrypting PIN Pad): Tamper-resistant device যা PIN encrypt করে।
- Display এবং Touchscreen: User interface।
- Receipt Printer: Transaction confirmation print করে।
- Camera এবং Sensors: Security এবং fraud detection।
এই component-গুলো main PC-এর সঙ্গে USB, serial, বা proprietary interface দিয়ে connected। এই connection-গুলো ATM hacking-এর primary attack surface।
ATM software stack-এ থাকে XFS (Extensions for Financial Services) middleware—Microsoft-এর তৈরি একটি standard যা ATM hardware এবং application-এর মধ্যে interface প্রদান করে। প্রতিটি peripheral-এর জন্য XFS provider থাকে যা hardware-specific driver-এর সঙ্গে interact করে।
Physical Attack Vectors
ATM-এর বিরুদ্ধে আক্রমণের সবচেয়ে পুরনো এবং এখনও কার্যকর পদ্ধতি হলো physical attack। এদের মধ্যে কিছু crude (যেমন chainsaw বা explosive দিয়ে safe ভাঙা), কিন্তু আমরা focus করব technical-এর উপর।
Card Skimming: Card reader-এর উপর একটি malicious overlay device install করা যা card data capture করে। আধুনিক skimmer খুবই sleek—কখনো কখনো card slot-এর ভেতরে fit হয় (deep insert skimmer), অথবা bezel-এর সঙ্গে মিশে যায়। PIN capture করতে hidden camera বা PIN pad overlay ব্যবহার করা হয়। Data Bluetooth, GSM, বা SD card-এর মাধ্যমে exfiltrate হয়।
Cash Trapping: Cash dispenser slot-এ একটি device install যা dispensed cash atomically intercept করে। User cash না পেয়ে চলে যায়, আর attacker পরে এসে cash সংগ্রহ করে।
Black Box Attack: ATM-এর top hood খুলে বা service door access করে USB cable physically disconnect করা cash dispenser-এর। তারপর attacker-এর own laptop বা Raspberry Pi-based device connect করা যা CDM-কে XFS command পাঠিয়ে cash dispense করায়। এটি "Jackpotting"-এর একটি form।
Jackpotting Attacks
Jackpotting হলো ATM-কে এমন একটি command পাঠানো যা সম্পূর্ণ cash cassette empty করে দেয়—যেন একটি slot machine jackpot। এই term Barnaby Jack (RIP) ২০১০ সালে Black Hat conference-এ famous করেছিলেন তার iconic demonstration-এর মাধ্যমে।
Ploutus Malware: Mexico-তে প্রথম discovered, Ploutus একটি Windows-based malware যা ATM-এ install হলে attacker-কে cash dispense করার ক্ষমতা দেয়। External keyboard বা SMS দিয়ে command পাঠানো যায়। Variant এখন pan-Latin America এবং Southeast Asia-তে দেখা গেছে।
Tyupkin/Padpin: Eastern European cybercriminal-দের দ্বারা ব্যবহৃত, এই malware ATM-এ install করা হয় physical access-এর মাধ্যমে—সাধারণত night-time-এ যখন service personnel-এর ছদ্মবেশে ATM open করা হয়। ATM-এর USB থেকে boot করে malware install করা হয়।
Cutlet Maker: ২০১৭ সালে dark web-এ একটি toolkit হিসেবে বিক্রি হয়েছিল যা CDM-এর সঙ্গে directly communicate করে। এটি XFS API ব্যবহার করে cash dispense করত। Toolkit price ছিল মাত্র $5,000।
আক্রমণের typical flow: attacker physical access পান ATM-এর top compartment-এ। USB port বা serial port via own device connect করেন। Malware install করেন বা existing system service exploit করেন। Mule attacker (cash collector) আসেন এবং specific code enter করে cash collect করেন।
Logical/Network-based Attacks
আরো sophisticated attack network-এর মাধ্যমে চালানো হয়। ATM bank-এর internal network-এর সঙ্গে connected থাকে এবং transaction backend-এ communicate করে।
Network Intrusion: Bank-এর corporate network compromise হলে attacker eventually ATM management server access করতে পারেন। সেখান থেকে individual ATM-এ command push করা যায়। Cobalt Group-এর ২০১৬-২০১৮ campaign-এ এই technique ব্যবহার করে ১০০-এর বেশি bank থেকে লক্ষ কোটি ডলার চুরি হয়েছিল।
Switch Compromise: ATM transaction processing-এ একটি "switch" থাকে যা bank-এর core banking system-এর সঙ্গে communicate করে (NCR Authentic, ACI BASE24)। এই switch compromise করলে attacker fake authorization message generate করে fraudulent transaction approve করতে পারেন।
SWIFT-Related Heist: Bangladesh Bank-এর ২০১৬ সালের incident-এ Lazarus Group SWIFT messaging system compromise করে $81 মিলিয়ন চুরি করেছিল। যদিও directly ATM-এর সঙ্গে সম্পর্কিত নয়, এটি financial system-এর interconnected nature এবং potential cascading impact দেখায়।
MITM Attack: কিছু পুরনো ATM HTTPS ছাড়াই host-এর সঙ্গে communicate করে। Attacker network-এ MITM position পেলে transaction modify করতে পারেন—যেমন withdrawal amount কমানো কিন্তু dispensed amount বাড়ানো।
ATM Malware Analysis
ATM malware analysis security researcher-দের জন্য একটি specialized field। Most ATM malware lateral movement-এর পরিবর্তে specific XFS API call করার উপর focus করে।
ATM malware-এর common characteristic:
- XFS API Hooking: WFSExecute, WFSGetInfo function-এ hook করে cash dispenser command intercept বা inject করা।
- Anti-Forensics: Log delete, process hiding, এবং persistence mechanism।
- Activation Code: Attacker-only specific code (অনেক সময় mobile phone থেকে SMS দিয়ে) দিয়ে activated, যাতে accidental discovery থেকে রক্ষা পায়।
- Cassette Selection: Specific cassette থেকে dispense করার option (সাধারণত highest denomination)।
Famous ATM malware family:
- Ploutus (Latin America, evolution-এ Ploutus.D, Ploutus.K)
- Tyupkin/Padpin (Russia, Europe)
- GreenDispenser (Mexico)
- Alice (Lightweight, simple, but effective)
- WinPot (Slot machine-style interface!)
- Cutlet Maker (Toolkit, commodity)
- FASTCash (Lazarus Group, Africa এবং Asia)
- ATMii (PowerShell-based, Russian banks)
প্রতিটি malware family-এর different anti-detection technique এবং targeting পদ্ধতি আছে।
EMV এবং Card Cloning
Magnetic stripe card-এর তুলনায় EMV chip card অনেক বেশি secure কারণ চিপ প্রতিটি transaction-এ একটি unique cryptogram generate করে। কিন্তু EMV-ও সম্পূর্ণ invulnerable নয়।
Shimming: Card reader-এ একটি thin device insert করা যা card-এর সঙ্গে ATM-এর communication intercept করে। যদিও chip cryptogram replay-proof, কিছু legacy implementation এবং fallback mode-এ vulnerability ছিল।
Pre-play Attack: Cambridge researcher-রা ২০১২ সালে demonstrate করেছিলেন কীভাবে কিছু EMV implementation-এ Unpredictable Number (UN) properly random না হলে pre-recorded transaction replay করা সম্ভব।
Fallback Exploitation: যদি chip read fail হয়, কিছু terminal magnetic stripe-এ fallback করে। Attacker chip damage করে এই fallback trigger করেন এবং পুরনো cloned magnetic stripe data ব্যবহার করেন।
Card Trapping এবং Lebanese Loop: Card reader-এ একটি device insert করা যা card stuck করে রাখে। Victim ভাবেন card খেয়ে ফেলেছে, চলে যান। Attacker পরে device সরিয়ে card নেন। শোল্ডার surfing-এর মাধ্যমে PIN আগেই পেয়ে যান।
Wireless এবং Modern Attack Vectors
আধুনিক ATM-এ wireless connectivity, contactless payment, এবং mobile integration যোগ হওয়ায় new attack vector উন্মুক্ত হয়েছে।
NFC এবং Contactless: Contactless card-এর জন্য EMV protocol-এর over-the-air variant ব্যবহৃত হয়। Researcher-রা প্রমাণ করেছেন যে কিছু implementation-এ amplification attack বা cryptogram replay সম্ভব।
WiFi এবং Cellular: Remote ATM (যেমন stand-alone retail ATM) প্রায়ই cellular connection ব্যবহার করে। Weakly secured cellular link MITM-এর সুযোগ দেয়। 2G/3G network-এ SIM box-based interception possible।
Maintenance Software Vulnerability: ATM vendor-এর management software-এ vulnerability—যেমন Wincor ProClassic, Diebold Agilis—attacker-কে remote command execution-এর সুযোগ দিতে পারে।
বাস্তব ঘটনার বিস্তারিত
Cosmos Bank Heist (২০১৮, India): Lazarus Group বা সম্পর্কিত actor ২৮টি দেশে ১২,০০০ ATM transaction-এর মাধ্যমে $13.5 মিলিয়ন চুরি করেছিল। তারা bank-এর ATM switch compromise করে fake authorization message generate করেছিল।
FASTCash (2018, পরবর্তীতে): US-CERT-এর alert অনুযায়ী, Lazarus Group AIX server (যা অনেক bank-এর core banking চালায়)-এর জন্য specific malware তৈরি করেছিল। এটি ISO 8583 message intercept করে authorization manipulate করত।
Carbanak Group: Eastern European group যারা ২০১৩-২০১৮ সালে ১০০-এর বেশি financial institution থেকে $১ বিলিয়নের বেশি চুরি করেছে। তারা spear phishing-এর মাধ্যমে initial access নিতেন, তারপর কয়েক মাস ধরে recon করে ATM এবং payment system manipulate করতেন।
Dunkin' Donuts ATM (২০১৬, USA): একটি white-label ATM থেকে Ploutus.D malware-এর মাধ্যমে কয়েক লক্ষ ডলার চুরি হয়েছিল। US Secret Service-এর investigation revealed করেছিল attacker-দের sophisticated planning।
প্রতিরোধ এবং Hardening Strategy
ATM security multi-layer approach দাবি করে।
Physical Security: Reinforced enclosure, anti-tampering sensor, alarm system। CCTV coverage—skimmer detection-এর জন্য। Anti-skimming bezel এবং card reader।
Operating System: Modern Windows version (Windows 10 IoT minimum), regular patching, application whitelisting (Microsoft AppLocker, Intel Security Application Control)। BIOS/UEFI password এবং secure boot।
Network Security: End-to-end encryption (P2PE - Point-to-Point Encryption) for all transactions। ATM dedicated VLAN-এ isolated, internet-এ direct exposure নেই। Bank-এর core network থেকে ATM network segmented।
Application Security: XFS API call monitoring এবং anomaly detection। Whitelisting-এর মাধ্যমে শুধু authorized application execute করতে পারে। Custom encryption pas dispenser-এর সঙ্গে।
Hardware Tamper Detection: EPP (Encrypting PIN Pad) তে tamper detection circuit যা physical attempt detect করলে key erase করে। CDM থেকে main board-এর USB connection-এ tamper-evident seal।
Monitoring এবং Response: Centralized SIEM-এ ATM event aggregate। Unusual cash dispense pattern—যেমন একই card multiple ATM থেকে বড় amount withdraw—detect করা। Behavioral analytics।
Personnel Security: Service personnel-এর background check এবং dual control (দুজন একসাথে service করেন)। Service-এর সময় recorded video।
নিয়ন্ত্রক এবং Industry Standards
PCI-DSS (Payment Card Industry Data Security Standard), PCI-PIN (PIN security), এবং PCI-EPP (Encrypting PIN Pad)—এসব standard ATM ecosystem-এ apply হয়। PCI-ATM Security Guidelines specifically ATM-এর জন্য recommendation প্রদান করে।
দেশ-নির্দিষ্ট regulation-ও আছে। Bangladesh-এ Bangladesh Bank-এর Payment Systems Department guideline issue করে। ভারত-এ RBI-এর ATM security framework। US-এ FFIEC guidance।
ATM Hacking একটি high-stakes domain যেখানে hardware, software, এবং human element-এর জটিল interplay ঘটে। আধুনিক attacker physical এবং logical attack-এর সমন্বয় ব্যবহার করেন, কখনো কখনো nation-state group-এর সঙ্গে partnership করে large-scale heist চালান। Financial institution-এর জন্য ATM security একটি ongoing arms race—প্রতিটি new defense-এর জন্য attacker নতুন technique বিকশিত করেন। যারা financial security, embedded systems security, বা advanced penetration testing-এ specialize করতে চান, তাদের জন্য ATM hacking একটি fascinating এবং technically demanding field। তবে যেহেতু এই knowledge সরাসরি criminal use-এ apply করা যায়, ethical boundary সবসময় respect করা অপরিহার্য—শুধু authorized engagement এবং academic research-এ এই দক্ষতা apply করা উচিত।
আপনার জ্ঞান যাচাই করতে প্রস্তুত? আজই HackCert-এ ATM Hacking MCQ Quiz-টি দিন!
Related articles
Fault Injection: Breaking Hardware Encryption via Voltage Manipulation
12 min
Firmware Forensics: Detecting Hidden Malicious Code in Hardware
12 min
NFC Exploitation: Hacking Risks of Contactless Payments and Technology
10 min
TEMPEST Attacks: The Silent Cyber Espionage via Electromagnetic Emanations
10 min