Tội phạm đã bòn rút được hàng triệu USD không phải bằng cách thông thường là gắn camera tại các điểm ATM, mà thâm nhập trực tiếp vào hệ thống máy tính Windows có nhiệm vụ xác nhận quá trình giao dịch.

Kể từ tháng 10/2007 đến 3/2008, một nhóm hacker đã tìm ra cách chui vào mạng ATM của ngân hàng Citibank, được lắp đặt trong chuỗi cửa hàng 7-Eleven ở Mỹ, để rình mò số PIN mà người sử dụng nhập vào. Cục điều tra liên bang FBI đã bắt giữ 3 kẻ tình nghi, đồng thời khẳng định vụ việc này được thực hiện dưới sự chỉ đạo của một nhân vật ở Nga.

Đây không đơn thuần là rắc rối của riêng Citibank và 7-Eleven bởi nó chứng minh khả năng tội phạm có thể tiếp cận mật khẩu dạng số (PIN) bằng cách tấn công máy tính đầu cuối, có trách nhiệm chấp thuận cho khách hàng rút tiền hay không.

Chuyên gia phân tích Avivah Litan thuộc hãng nghiên cứu Gartner cho hay: "PIN đáng ra là thành phần bất khả xâm phạm nhưng thực tế nhiều ngân hàng không mã hóa theo đúng nguyên tắc, khiến nó bị rò rỉ trong quá trình chuyển đổi giữa máy ATM và máy tính xử lý giao dịch".

Vấn đề mà giới bảo mật quan tâm hiện nay là hacker thâm nhập vào hệ thống như thế nào. Chúng đã giành quyền truy cập với mật khẩu admin (quản trị) từ xa, hay cài phần mềm chứa mã độc vào máy chủ ngân hàng? Tất cả vẫn chưa được FBI tiết lộ.

Trước đây, tội phạm thường dụ người dùng "nộp" số PIN qua các e-mail lừa đảo (phishing), cài phần mềm ghi lại ký tự bàn phím (keylogger) hoặc gắn camera siêu nhỏ trên tại các điểm ATM.

Ngân hàng Citibank từ chối bình luận về kỹ thuật mà hacker sử dụng. Họ đã thông báo cho khách hàng bị ảnh hưởng và cung cấp thẻ mới cho những người này.