Programador explora brecha em caixa eletrônico para roubar US $ 1 milhão

Um administrador de software chinês foi condenado após ser considerado culpado por roubar aproximadamente 1 milhão de dólares dos caixas eletrônicos do Banco Huaxia, que continham falhas de segurança.

O ex-gerente de 43 anos de idade, empregado no centro de desenvolvimento de software e tecnologia do Huaxia Bank, detectou uma “brecha” no principal sistema operacional do banco, que ofereceu um cronograma não registrado de retirada, como publicado pelo South China Morning Post .

Qin Qisheng percebeu que as retiradas em dinheiro feitas perto da meia-noite não foram registradas pelos sistemas do banco em 2016 e, no mesmo ano, começaram a abusar sistematicamente da falha.

Qin escreveu vários scripts que, uma vez implantados no software do banco, permitiram que ele investigasse a brecha sem levantar suspeitas.

Parece que esses testes foram bem sucedidos, já que o chefe de software fez retiradas por mais de um ano, retirando entre US $ 740 e US $ 2.965, segundo a publicação.

O dinheiro tinha que vir de algum lugar, e assim Qin usou uma “conta fictícia” estabelecida pelo banco para fins de teste.

No total, as autoridades chinesas afirmam que o ex-gerente conseguiu roubar mais de sete milhões de yuans, o equivalente a cerca de US $ 1 milhão. 

O Banco Huaxia acabou descobrindo o esquema, que Qin tentou explicar como “testes internos de segurança”. Quando chegou a hora, o gerente de software disse que os fundos estavam simplesmente “descansando” em sua própria conta, mas deviam ser devolvidos ao banco. 

Em uma reviravolta interessante, a instituição financeira aceitou sua explicação e resolveu o problema. A polícia, no entanto, não acreditou na história e acabou prendendo-o por roubo em dezembro de 2018. 

Qin foi condenado a dez anos e meio de prisão e, em recurso, a sentença foi confirmada. 

O Banco Huaxia pediu às autoridades chinesas que retirassem o caso assim que o dinheiro fosse devolvido, do qual todos os lucros foram recuperados. Este pedido não foi aceito como “legítimo” pela aplicação da lei e, portanto, Qin deve cumprir sua sentença.

Falhas, skimmers e fraquezas de software não são os únicos métodos que criminosos exploram para forçar caixas eletrônicos. No ano passado, os pesquisadores descobriram uma variedade de malwares projetados especificamente para ataques contra caixas eletrônicos baseados em Bitcoin, à venda na Dark Web.

O código malicioso que explora as chamadas “vulnerabilidades de serviço” e o malware que desconecta os alarmes dos sistemas ATM para impedi-los de soar, estão à venda por aproximadamente US $ 25.000 no mercado negro.