Wat u moet weten over het hacken van verkoopautomaten
Beveiliging/Brand en Veiligheid
Verkoopautomaten zijn een doelwit bij uitstek voor pogingen tot hacking. Ze staan meestal lange tijd onbeheerd, dus het is niet moeilijk voor een hacker om een opening te vinden voor gratis snacks of zelfs geld. In tegenstelling tot de eerste pogingen om automaten te hacken – meestal met behulp van een muntje en een stukje plakband, of zelfs een lege metalen slak – hebben zowel hackers als automaten de dingen een beetje geavanceerder gemaakt.
Waarom automaten?
Voor sommige hackers is het misschien een kwestie van gemak. Wie wil er nou niet gratis eten en drinken? Anderen zien de automaten als een uitdaging. Moderne verkoopautomaten zijn zo gebouwd dat ze bestand zijn tegen brute-force fysieke hacks (zoals het heen en weer schommelen van de automaat om de goederen los te schudden), en ze bevatten zelfs kunstmatige intelligentie. Weer andere hackers zijn misschien op zoek naar iets sinisterders dan een paar gratis frisdranken, zoals de kaartnummers en PIN-codes van iedereen die de automaat gebruikt.
Hoe worden verkoopautomaten gehackt?
De methodes variëren, afhankelijk van waar de hackers op uit zijn. In een opmerkelijk voorbeeld slaagde een handvol CIA-contractanten erin dit te omzeilen door tijdens de transactie een netwerkkabel los te koppelen, waardoor de automaat niet kon bevestigen dat de door hen gebruikte betaalkaarten daadwerkelijk over geld beschikten. Hierdoor konden de hackers vrijwel onbeperkt gratis snacks krijgen, terwijl de automaat niet kon zien dat er geen geld was gewisseld.
In andere gevallen kunnen automaten kwetsbaar zijn voor firmware mods afkomstig van chip- en pinkaarten. Een hacker zou een geprogrammeerde kaart net zo kunnen gebruiken als een normale credit- of debitcard, de firmware mod installeren, en dan op een later tijdstip terugkeren om alle kaartnummers en PIN-codes op te halen die in de tussentijd door de mod zijn verzameld. Het is ook mogelijk voor hackers om pass-through apparaten te installeren om informatie te wijzigen die via ethernetkabels wordt verzonden die op de machine zijn aangesloten, of om creditcard skimmers aan de interface te bevestigen.
Gelukkig werken de meeste hacks niet.
Voor mensen die bekend zijn met het soort twijfelachtige advies dat wordt gegeven in zaken als “The Anarchist’s Cookbook,” is het waarschijnlijk helemaal niet verrassend om te ontdekken dat de meeste van de hacking-instructies die gemakkelijk beschikbaar zijn op het web ofwel volledig nep zijn, verouderd, of het eindproduct van een spelletje internettelefoon. Er zijn tal van YouTube-video’s en blogposts met details over manieren om verkoopautomaten te hacken voor gratis producten, maar de meerderheid daarvan valt in het domein van de clickbait – de makers zijn minder geïnteresseerd in het daadwerkelijk hacken van machines dan in het verkrijgen van views. Toch moeten fabrikanten hun machines en gegevens beveiligen. Een hacker die af en toe een frisdrankje steelt, lijkt misschien van weinig belang, maar een hacker die een week lang transactiegegevens steelt, is een veel groter probleem.
Machines en informatie veilig houden.
Hacks zijn vrij specifiek voor verkopers en modellen van machines, en hoewel geen enkele verkoopautomaat absoluut waterdicht is, zijn er maatregelen die fabrikanten kunnen nemen om hun eigendom en de gegevens van hun gebruikers te beschermen. Om een verkoopautomaat veilig te houden, moet je eerst naar de fysieke veiligheid ervan kijken. Machines moeten met bouten aan de vloer worden bevestigd om kantelen te voorkomen, en een goede kantelsensor mag niet kunnen worden uitgeschakeld door een magneet of een ander extern apparaat. Kabels die de machine binnenkomen, moeten via de basis naar boven lopen, niet via de achterkant waar ze gemakkelijk bereikbaar en manipuleerbaar zijn. Buisvormige pinsloten zijn ook niet erg veilig en moeten zoveel mogelijk worden vermeden. Wees extra voorzichtig met op het netwerk aangesloten machines en versleutel altijd alles wat via TCP/IP wordt verzonden, om gegevens te beschermen. Laat een gerenommeerde beveiligingsconsultant software controleren om kwetsbaarheden op te sporen voordat het serieuze problemen worden.
Hacken van een verkoopautomaat lijkt misschien iets dat een stel verveelde aannemers of kinderen zou kunnen doen, maar een vastberaden hacker kan er zo met duizenden creditcardnummers vandoor gaan. Het moeilijker maken van automaten om fysiek te worden gekraakt of hun firmware te laten manipuleren, beschermt eigenaren niet alleen tegen productverlies, maar kan ook de gevoelige financiële gegevens van gebruikers beschermen.