Tietoa

Vuosi on ollut haastava rahoituspalvelualalle ja pankkiautomaattien valmistajille, sillä käteisrahahyökkäysten tapausten ja muunnelmien määrä on kasvanut. Jackpotting – tunnetaan myös nimellä ”musta laatikko hyökkäys” – viittaavat hyökkäyksiin, joissa pankkiautomaattia manipuloidaan niin, että se luovuttaa kaikki käteisvarat, samaan tapaan kuin peliautomaatti kasinon jättipotin jälkeen, on raportoitu lisääntyneen vuoden alusta lähtien. Viime viikolla lainvalvontaviranomaiset ilmoittivat rahoituslaitoksille pankkiautomaatteihin kohdistuvien koordinoitujen loogisten hyökkäysten uhasta. Lisäksi äskettäinen Cosmos-pankkiin Intiassa kohdistunut hyökkäys, jonka tekijäksi epäillään pohjoiskorealaista Lazarus-ryhmää, ei ole tyypillinen jättipottihyökkäys, mutta se osoittaa, että tiettyjen rahoituspalveluyksiköiden pankkiautomaatti-infrastruktuuri on edelleen haavoittuvainen erityisesti loogisille hyökkäyksille. Tässä tiedotteessa tarkastellaan pankkiautomaattien käteisnostohyökkäyksiä ja heikkouksia, joita tämä voi paljastaa rahoituspalvelualalta.

Yhteystiedot

Pankkiautomaatit ovat edelleen kannattava kohde rikollisille, jotka käyttävät erilaisia menetelmiä laittomien tulojen hankkimiseen. Jotkut turvautuvat fyysisesti tuhoaviin menetelmiin käyttämällä metallia leikkaavia työkaluja, toiset taas valitsevat haittaohjelmatartuntoja, joiden avulla he voivat manipuloida käteisautomaatteja sisältä käsin.

Rikolliset käyttävät erilaisia työkaluja ja tekniikoita (fyysisiä, loogisia tai yhdistettyjä) päästäkseen käsiksi pankkiautomaattien ”mustaan laatikkoon” ja ohittaakseen kaikki turvavalvontatoimenpiteet ja pakottaakseen käteisautomaatin ottamaan pois kaikki rahansa. Joitakin poikkeuksia lukuun ottamatta jokaisella pankkiautomaatilla on sama toiminto, eli käteisrahan jakomekanismi, jota ohjataan käyttöjärjestelmällä henkilökohtaisen tietokoneen (PC) avulla ja joka on näin ollen alttiina loogisille hyökkäyksille. Haittaohjelmahyökkäykset, jotka ovat näiden loogisten hyökkäysten alaluokka, ovat yhä suositumpia tietoverkkorikollisten keskuudessa.

Esimerkkejä Jackpotting-hyökkäyksissä käytetyistä työkaluista

Endoskooppi – Kapea, putkimainen lääketieteellinen laite, jonka päissä on kamerat, joita käytetään tyypillisesti ihmiskehon sisäpuolelle näkemiseen. Huijaajat käyttävät niitä nähdäkseen pankkiautomaatin sisälle ja löytääkseen haavoittuvat kohdat.

Tyupkin-haittaohjelma – Haittaohjelman osa, jonka avulla hyökkääjät voivat tyhjentää pankkiautomaatin käteiskassetit suoralla manipuloinnilla. Tietoturvatutkijat tunnistivat sen ensimmäisen kerran vuonna 2013 nimellä Backdoor.MSIL.Tyupkin, ja se vaikuttaa erään suuren valmistajan pankkiautomaatteihin, joissa on Microsoft Windows 32-bittinen käyttöjärjestelmä.

Ploutus.D-haittaohjelma – Tunnistetaan tiedostonimestä ”AgilisConfigurationUtility.exe”, ja se on yksi edistyneimmistä pankkiautomaatti-haittaohjelmaperheistä, ja se löydettiin ensimmäisen kerran Meksikosta vuonna 2013. Kun tämä haittaohjelma on asennettu USB-portin kautta, sen avulla rikolliset voivat tyhjentää pankkiautomaatteja joko koneeseen kiinnitetyn ulkoisen näppäimistön tai tekstiviestin avulla.

Cutlet Maker, c0decalc ja Stimulator haittaohjelmatyökalupakissa – Haittaohjelmapaketti on suunniteltu pankkiautomaattimyyjäkohtaisen API-rajapinnan (API:n) avulla, uutismediat kertoivat. Jotta hyökkäys voidaan toteuttaa tämän sarjan avulla, rikollisten on päästävä suoraan pankkiautomaatin sisälle ja päästävä käsiksi yhteen USB-portista, jota käytetään haittaohjelman lataamiseen. c0decalc luo salasanan, jolla taataan haittaohjelman tekijänoikeudet. Stimulaattori hakee tietyn myyjän pankkiautomaatin käteiskassettien tilatiedot (kuten valuutan, arvon ja setelien määrän).

Esimerkkejä Jackpotting-hyökkäyksissä käytetyistä tekniikoista:

Automaatin kiintolevyn manipulointi:

  • Huijarit pukeutuvat pankkiautomaatin teknikoiksi tai vaihtavat paikan päällä olevan ”rahan muulin” välityksellä pankkiautomaatin kiintolevyn uuteen (mahdollisesti käyttämällä haittaohjelmalla ladattua muistitikkua), jotta käteisautomaattiyksikköön voidaan antaa luvattomia jakelukomentoja.
  • Vaihtoehtoisesti pankkiautomaatin kiintolevy voidaan irrottaa, saastuttaa haittaohjelmalla ja asettaa uudelleen sen sijaan, että se korvattaisiin hyökkääjän toimittamalla kiintolevyllä.
  • Lisäksi antureita manipuloidaan endoskoopin avulla tunnistusjärjestelmän huijaamiseksi. Näin hyökkäyksessä ohitetaan salatut viestintäprotokollat.

Black Box Attack:

  • Teknikoksi pukeutuneet huijarit kytkevät pankkiautomaatin tietokoneen eli ”mustan laatikon” irti kytkemällä loogiset turvatoimet pois käytöstä.
  • Endoskoopin avulla kurkistetaan pankkiautomaatin sisälle ja etsitään pankkiautomaatin sisäosa, johon voidaan kiinnittää johto, joka mahdollistaa rikollisen kannettavan tietokoneen ja pankkiautomaatin tietokoneen välisen synkronoinnin.
  • Automaatti kytketään takaisin PÄÄLLE, kun haittaohjelma on jo asennettu ja se toimii koneen taustalla odottaen automaatin näppäimistöltä tulevia ohjeita käteisrahan jakamiseksi.

Man-in-the-Middle:

  • Huijaajat asentavat laitteen, jolla peukaloidaan pankkiautomaatin tietokoneen tai ”mustan laatikon” ja automaattiyksikön välistä tiedonsiirtolinjaa. Useimmiten kyseessä on RS232- tai USB-sarjaliitäntä.
  • Haittaohjelma väärentää isännän vastauksia, jotta rahaa voidaan nostaa veloittamatta huijarin tiliä.

Tämä tekee näistä hyökkäyksistä mielenkiintoisia tietyille rikollisille, koska niiden toteuttaminen vaatii vain vähän teknistä osaamista. Pimeässä verkossa on saatavilla runsaasti opetusohjelmia ja vaiheittaisia oppaita, jotka helpottavat heidän toimintaansa. Silti nämä hyökkäykset edellyttävät tietynasteista fyysistä pääsyä pankkiautomaattiin ja rikollisen henkilöllisyyden paljastumista, jotta ne voidaan toteuttaa. Rikolliset voivat varastaa rahaa pankkiautomaateista yksinkertaisemmilla menetelmillä kuin jättipotilla. On olemassa etähyökkäyksiä, jotka eivät edellytä fyysistä pääsyä pankkiautomaatin sisälle, josta äskettäinen Cosmos-pankin tapaus on hyvä esimerkki.

Automaattiverkkoon syötetyt haittaohjelmat

Hyökkääjät tartuttavat pankkiautomaatteihin haittaohjelmia myös rahoituslaitosten verkkojen kautta. Kun hyökkääjä pääsee pankin verkkoon, hän voi asentaa haittaohjelman etäyhteydeltä ja muuttaa pankkiautomaatin orjakoneeksi. Viimeisessä vaiheessa hyökkääjä lähettää ohjeet suoraan pankkiautomaatille, käskee sitä jakamaan rahat ja määrää muulin noutamaan ne.

Cosmos Bankin pankkiautomaattiryöstö

Tämän kuun alussa Pohjois-Koreaan kytköksissä olevalle Lazarus Group -ryhmälle uskottu hyökkäys oli vastuussa 13,5 miljoonan Yhdysvaltain dollarin varastamisesta intialaiselta Cosmos Bankilta aggressiivisessa hyökkäyksessä, joka paljasti rajoitteet toimenpiteissä, joita pankit käyttävät puolustautuakseen kohdennetuilta kyberuhilta. Vielä on epäselvää, miten uhkaajat onnistuivat alun perin tunkeutumaan pankin verkkoon. Tietoturvatutkimuksen mukaan tämän uhkatekijän tyypillisen toimintatavan perusteella hyökkääjät tunkeutuivat sisään spear-phishing-sähköpostin kautta ja siirtyivät sitten sivusuunnassa pankin verkossa vaarantaen laitoksen pankkiautomaatti-infrastruktuurin.

Tämä ei ollut tyypillinen peruskortti-ei-esiintyvää (CNP) -hyökkäys tai jättipottihyökkäys. Hyökkäys oli edistyneempi, hyvin suunniteltu ja pitkälle koordinoitu operaatio, jossa keskityttiin pankin infrastruktuuriin ja ohitettiin tehokkaasti Europolin pankkiautomaattihyökkäysten torjuntaohjeiden mukaiset neljä pääpuolustuskerrosta. Alkuperäisen hyökkäyksen jälkeen hyökkääjät todennäköisesti joko hyödynsivät myyjän pankkiautomaatin testiohjelmistoa tai tekivät muutoksia nykyisin käytössä olevaan pankkiautomaatin maksukytkinohjelmistoon luodakseen haitallisen välityskytkimen (MPS). Tämän seurauksena maksukytkimen lähettämiä tietoja tapahtuman hyväksymiseksi ei koskaan välitetty Core Banking Solution -ratkaisuun (CBS), joten kortin numeron, kortin tilan (Cold, Warm, Hot), PIN-koodin ja muiden tietojen tarkistuksia ei koskaan suoritettu. Sen sijaan pyynnön käsitteli hyökkääjien käyttämä MPS, joka lähetti väärennettyjä vastauksia, joilla maksutapahtumat hyväksyttiin.

FBI varoittaa rahoituslaitoksia maailmanlaajuisesta pankkiautomaatti-käteisoperaatio-ohjelmasta

Uutismedia uutisoi, että liittovaltion poliisi FBI varoittaa rahoituslaitoksia siitä, että tietoverkkorikolliset valmistautuvat toteuttamaan hyvin suunnitellun maailmanlaajuisen petosoperaatio-ohjelman nimeltä pankkiautomaatti-käteisoperaatio. FBI yhdisti suunnitelman pankin tai maksukorttiprosessorin hakkerointiin ja kloonattujen korttien käyttöön pankkiautomaateissa ympäri maailmaa. Tällä tekniikalla voitaisiin nostaa miljoonia dollareita muutamassa tunnissa. Varoitus annettiin vain muutama päivä ennen Cosmos Bankin ryöstöä, mutta huoli jäljennöksistä on edelleen olemassa.

Suositukset

Suositukset pankkiautomaattioperaattoreille ja rahoituslaitoksille

  • Toteuta EMV-turvallisuusstandardit. EMV on maksutapa, joka perustuu tekniseen standardiin älykkäille maksukorteille (joita kutsutaan myös sirukorteiksi tai IC-korteiksi) sekä maksupäätteille ja pankkiautomaateille, jotka pystyvät hyväksymään niitä.
  • Tarkistakaa pankkiautomaattien fyysinen turvallisuus ja harkitkaa investoimista laadukkaisiin ja vankkoihin fyysisiin turvaratkaisuihin ja pankkiautomaatin turvahälyttimiin.
  • Turvatkaa pankkiautomaatin ylin lokero (top box), jossa on tietokone. Tämä alue olisi suojattava tunkeilijahälyttimellä luvattoman avaamisen estämiseksi, tai ylälaatikon lukitus olisi muutettava siten, että vältetään valmistajan toimittamien oletusarvoisten yleisavainten käyttö.
  • Valmistetaan erityiset itsepalvelupäätteille suunnitellut turvaratkaisut. Ratkaisut, joilla pankkiautomaattien ohjelmistot pidetään ajan tasalla älykkään pankkiautomaattiturvallisuuden hallintaohjelman avulla. Harkitse muiden pankkiautomaattiin liitettyjen laitteiden, kuten verkkolaitteiden ja modeemien, sisällyttämistä turvallisuudenhallintaohjelmaan.
  • Raportoi ennakoivasti lainvalvontaviranomaisille kaikista epätavallisista nostosummista tietyissä yksiköissä.
  • Käytetään reaaliaikaista petosten havaitsemisjärjestelmää tai tekoälyohjelmistoa pankkiautomaattivarkauksien, rahanpesun ja muiden talousrikosten havaitsemiseksi.
  • Kovennetaan tietokoneen käyttöjärjestelmän tietoturvakäytäntöjä, jotta estetään käyttöoikeuksien väärinkäyttö, oletustilit, haittaohjelmien asentaminen ja resurssien, kuten USB-porttien/CD-levyjen/DVD-levyjen/kiintolevyjen, luvaton käyttö.
  • Säädä BIOS käynnistymään vain ATM:n kiintolevyltä.
  • Poista oletusarvoisesti käynnistys irrotettavilta tietovälineiltä missä tahansa ATM:ään liittyvässä laitteessa.
  • Blokkaa oletusarvoisesti tuntemattomien USB-laitteiden käyttö missä tahansa ATM:ään liittyvässä laitteessa.
  • Varmistu siitä, että Automaattinen käynnistys (AUTORUUN) on kytketty pois käytöstä täysimääräisesti ja tehokkaasti missä tahansa ATM:ään liittyvässä laitteessa.
  • Käyttäkää kiintolevyn salausta kiintolevyn sisällön luvattomien muutosten estämiseksi.
  • Toteuttakaa pankkiautomaatin paikallisille ylläpitäjille vahvat salasanavaatimukset ja kaksitekijätodennus fyysisen tai digitaalisen tunnisteen avulla, jos mahdollista. Harkitse vankkoja salasanojen hallintakäytäntöjä. Parhaiden käytäntöjen mukaan näiden salasanojen olisi oltava niin monimutkaisia kuin BIOS voi tukea.
  • Rajoita hyväksymättömien sovellusten käyttöä haittaohjelmien suorittamisen estämiseksi.
  • Määrittele politiikka, jossa vahvistetaan turvalliset ja säännölliset ohjelmistopäivitykset kaikille pankkiautomaattiin liittyviin laitteisiin asennetuille ohjelmistoille.
  • Valvotaan salattua liikennettä, joka kulkee muiden kuin standardiporttien kautta.
  • Valvotaan verkkoliikennettä alueille, joilla ei yleensä esiinny finanssilaitoksesta lähteviä yhteyksiä.
  • Konfiguroidaan järjestelmä siten, että se hyväksyy vain alkuperäisen tiedonsiirron, joka edellyttää tunnistautumista käteisautomaatilla. esimerkiksi kassakaapin fyysistä käyttöä. Näin voidaan estää luvattomia laitteita lähettämästä komentoja käteisautomaatille.
  • Määritä säännöt, joilla estetään viestinnän suojauksen kiertäminen esim. palauttamalla laiteohjelmisto tai toistamalla viestejä.
  • Valmistetaan palomuuri, jolla rajoitetaan kaikkea pankkiautomaatille tulevaa viestintää.
  • Käytetään viestinnän todennus- ja salaussuojauksia kaikkeen pankkiautomaattiverkon liikenteeseen. Suositus on käyttää TLS 1.2:ta tai VPN:ää ja ottaa käyttöön MAC-tunnistus arkaluonteisten viestien kryptografista todentamista varten.

Suositukset paikan päällä olevien pankkiautomaattien operaattoreille

  • Varmista, että pankkiautomaatti sijaitsee avoimessa, hyvin valaistussa ympäristössä, jota valvotaan näkyvillä turvakameroilla. Pankkiautomaatti olisi kiinnitettävä turvallisesti lattiaan rikollisia pelottavalla laskeutumisen estävällä laitteella.
  • Tarkista säännöllisesti, ettei pankkiautomaattiin ole kiinnitetty merkkejä kolmannen osapuolen laitteista (skimmerit).
  • Ole varuillasi, jos pankkiautomaattihenkilöksi naamioituneet rikolliset tekevät sosiaalista manipulointia hyödyntäviä hyökkäyksiä.
  • Toteuta tunkeutumishälytykset ja toimi niiden mukaisesti ilmoittamalla lainvalvontaviranomaisille mahdollisesta murrosta.
  • Harkitse pankkiautomaatin täyttämistä vain yhdellä käteisellä, joka riittää yhden päivän toimintaan.

Loppuhuomautukset

Ensimmäinen julkisesti tunnettu pankkiautomaattihyökkäyksen käyttökohde esiteltiin koko maailmalle vuoden 2010 Black Hat -konferenssissa. Vuosia myöhemmin huijarit ja heidän rahamyyjänsä ryhtyivät tiettävästi aktiivisiksi jättipottihyökkäyksissä, joita rohkaisivat pankkiautomaattioperaattoreiden hidas EMV-teknologian käyttöönotto, löyhä fyysinen turvallisuus, heikko valvonta ja huolto. Näiden rikosten tekemiseen tarvittavia välineitä ja tekniikoita kuvaavat tiedot tulivat myös laajalti saataville pimeään verkkoon. Kaikki nämä tekijät loivat ihanteellisen ympäristön tämän rikollisen toiminnan kukoistukselle. Petoksentekijöihin liittyy silti tietty riski, koska hyökkäyksen toteuttaminen edellyttää fyysistä läsnäoloa. Pankkiautomaattiverkkoon perustuvat hyökkäykset ovat seuraavaksi paras tekniikka, jolla huijarit voivat nostaa rahaa turvallisemmin ja tehokkaammin. Äskettäinen Cosmos-tapaus osoittaa, että rikollisten on mahdollista varastaa suuria määriä rahaa pankkiautomaateista muutamassa tunnissa jälkiä jättämättä.

Rikollisten käyttämät TTP:t (taktiikat/työkalut, tekniikat ja menettelyt) pankkiautomaattiverkkoon perustuvissa hyökkäyksissä ovat hyvin samankaltaisia kuin ne, joita käytetään tietoverkkohyökkäyksen muuntyyppisiin kohteisiin. Lisäksi kyberuhat ja turvallisuussuositukset, joita tyypillisesti sovelletaan yritysverkkoihin, pätevät myös pankkiautomaatteihin.

Näiden viimeaikaisten tietoturvaloukkausten vuoksi rahoituspalvelulaitosten turvallisuuspäälliköiden olisi harkittava yritysverkkojensa turvallisuustoimenpiteiden ulottamista pankkiautomaattiverkkoihin ensisijaisen tärkeänä asiana, jotta voidaan vähentää näille tuhoisille pankkiautomaattipohjaisille käteisrahahyökkäyksille altistumisen riskejä.

Vastaa

Sähköpostiosoitettasi ei julkaista.