Utilizzano un malware come quelli che circolano via Internet, ma definirli ‘truffatori online’ sarebbe decisamente improprio. I criminali che stanno rubando milioni di euro in Sud America, Asia ed Europa agiscono sul posto, ‘assaltando’ i bancomat per prelevare grosse somme di denaro e sparire poi nel nulla. Il modus operandi, come ricostruito dall’Interpol attraverso le registrazioni delle telecamere di sorveglianza, è sempre lo stesso e prevede un lavoro in coppia. Oltre al creatore del virus, infatti, serve un complice che si trovi fisicamente davanti allo sportello bancomat per installare il virus e prelevare il denaro. Il suo compito è quello di aprire lo scomparto che permette l’accesso ai componenti hardware dello sportello, utilizzando una copia della chiave o forzando la serratura.

Utilizza poi un cd per installare il malware, che si sostituisce al sistema operativo basato su Windows che normalmente gestisce le funzioni del bancomat. Il programma, battezzato Tyupkin dagli analisti di Kaspersky Lab che ne hanno studiato il codice, agisce come un “live cd”, ovvero quelle versioni dei sistemi operativi che possono essere usati su un computer attraverso il semplice compact disc. Da questo momento, il bancomat è quindi gestito da un nuovo sistema operativo e non richiede più l’uso di una carta per autorizzare il prelievo. Anzi: il programma è in grado di accedere direttamente alle riserve dei contanti. Gli sportelli, infatti, hanno di solito più cassette per le banconote. Tyupkin permette di vedere quanto denaro è contenuto in ognuna di esse e avviare il prelievo. In teoria il tutto potrebbe concludersi qui.

La procedura, come mostrato in un video dimostrativo, è però più complicata. Anche nel mondo dei rapinatori (per quanto tecnologicamente evoluti) la fiducia rimane infatti una merce rara e i creatori del malware hanno pensato bene di tutelarsi da eventuali “furbate”. Per evitare che i soci possano decidere di mettersi in proprio e utilizzare Tyupkin per intascare denaro di nascosto, hanno ideato un sistema che impedisce iniziative al di fuori del loro controllo. Al momento dell’installazione infatti, il malware visualizza sullo schermo del bancomat un codice che il “braccio” dell’operazione deve comunicare via cellulare alla “mente”. Quest’ultimo utilizza un algoritmo da lui creato per generare un secondo codice, che una volta inserito attraverso il tastierino numerico del bancomat permette il prelievo con un limite di 40 banconote alla volta. Il giochino, però, è destinato a durare poco. Secondo quanto rivelato dagli analisti che hanno studiato la versione corrente del malware, per bloccarlo è sufficiente modificare la password predefinita del BIOS, indispensabile per installare Tyupkin.