Bevezetés

A pénzügyi szolgáltatási ágazat és az ATM-gyártók számára kihívásokkal teli év volt, mivel egyre több incidens és a cash-out támadások változatai jelentek meg. A Jackpotting – más néven “fekete dobozos támadás” – olyan támadásokra utal, amelyek során egy ATM-et úgy manipulálnak, hogy az összes készpénzét kiadja, hasonlóan a kaszinókban a jackpot utáni nyerőgéphez, a jelentések szerint az év eleje óta egyre többször fordul elő. A múlt héten a bűnüldöző hatóságok értesítették a pénzügyi szolgáltató intézményeket az ATM-ek elleni összehangolt logikai támadások, az úgynevezett “ATM cashout” veszélyéről. Továbbá az indiai Cosmos bankot nemrégiben ért támadás – amelyet az észak-koreai Lazarus csoportnak tulajdonítottak – bár nem tekinthető tipikus jackpot-támadásnak, rávilágít arra, hogy egyes pénzügyi szolgáltató szervezetek ATM-infrastruktúrája még mindig sebezhető, különösen a logikai támadásokkal szemben. Ez az Info-jegyzet áttekinti a pénzkiadó automatákat ért támadásokat és az ebből fakadó gyengeségeket a pénzügyi szolgáltatási ágazatból.

Háttérinformációk

Az ATM-ek továbbra is jövedelmező célpontot jelentenek a bűnözők számára, akik különböző módszereket alkalmaznak illegális bevételek szerzésére. Míg egyesek a fizikailag romboló módszerekre támaszkodnak fémvágó szerszámok alkalmazásával, mások a malware fertőzéseket választják, amelyek lehetővé teszik számukra, hogy belülről manipulálják a pénzkiadó automatákat.

A bűnözők különböző eszközöket és technikákat (fizikai, logikai vagy kombinált) használnak az ATM-ek “fekete dobozához” való hozzáféréshez és az összes biztonsági ellenőrzés kijátszásához, kikényszerítve a pénzkiadó automatából annak összes pénzét. Néhány kivételtől eltekintve minden ATM ugyanazzal a funkcióval rendelkezik, egy készpénzkiadó mechanizmussal, amelyet egy személyi számítógép (PC) segítségével működő operációs rendszer vezérel, és ezért ki van téve a logikai támadások kockázatának. A kiberbűnözők körében egyre népszerűbbek a rosszindulatú támadások, amelyek e logikai támadások egyik alkategóriája.

Példák a Jackpotting-támadásokban használt eszközökre

Endoszkóp – Keskeny, csőszerű orvosi eszközök, amelyek végein kamerák vannak, és amelyeket általában az emberi test belsejébe való betekintésre használnak. A csalók arra használják, hogy belelássanak az ATM belsejébe és megtalálják a sebezhető pontokat.

Tyupkin malware – Olyan malware, amely lehetővé teszi a támadók számára, hogy közvetlen manipulációval kiürítsék az ATM készpénzkazettáit. Először 2013-ban azonosították biztonsági kutatók Backdoor.MSIL.Tyupkin néven, egy nagy gyártó Microsoft Windows 32-bites rendszert futtató ATM-eit érinti.

Ploutus.D malware – Az “AgilisConfigurationUtility.exe” fájlnévről azonosítható, az egyik legfejlettebb ATM malware család, amelyet először 2013-ban fedeztek fel Mexikóban. Ez a kártevő, miután USB-porton keresztül telepítették, lehetővé teszi a bűnözők számára az ATM-ek kiürítését a géphez csatlakoztatott külső billentyűzet vagy SMS-üzenet segítségével.

Cutlet Maker, c0decalc és Stimulator egy kártevő eszközkészletben – Egy ATM-gyártó-specifikus API segítségével tervezett kártevő készlet, jelentette a hírmédia. Az ezzel a készlettel végrehajtott támadás operacionalizálásához a bűnözőknek közvetlen hozzáférést kell szerezniük az ATM belsejéhez, és el kell érniük az egyik USB-portot, amelyet a malware feltöltésére használnak. A c0decalc egy jelszót generál, amely garantálja a malware szerzőjének szerzői jogait. A Stimulátor lekérdezi az adott gyártó ATM készpénzkazettáinak állapotinformációit (például a valutát, a bankjegyek értékét és mennyiségét).

Példák a Jackpotting-támadásokban használt technikákra:

ATM merevlemezének manipulálása:

  • Az ATM-technikusnak öltözött csalók vagy egy helyszíni “pénzfutár” segítségével kicserélik az ATM merevlemezét egy újjal (esetleg egy rosszindulatú szoftverrel feltöltött pendrive segítségével), hogy lehetővé tegyék a pénzkiadó egységnek adott jogosulatlan kiadási parancsokat.
  • Az ATM merevlemeze eltávolítható, megfertőzhető rosszindulatú szoftverrel, és ahelyett, hogy a támadó által biztosított merevlemezzel cserélnék ki, újra behelyezhető.
  • Az érzékelőket emellett endoszkóp segítségével manipulálják, hogy becsapják a hitelesítési rendszert. Így a támadás során megkerülik a titkosított kommunikációs protokollokat.

Black Box Attack:

  • A technikusnak öltözött csalók kikapcsolják az ATM számítógépét vagy “fekete dobozát”, hatástalanítva a logikai biztonsági intézkedéseket.
  • Endoszkóp segítségével belenéznek az ATM belsejébe, és megkeresik a pénzautomata belső részét, ahová egy kábelt lehet csatlakoztatni, ami lehetővé teszi a szinkronizálást a bűnöző laptopja és az ATM számítógépe között.
  • Az ATM-et újra bekapcsolják, miközben a rosszindulatú szoftver már telepítve van és fut a gép hátterében, és várja az ATM billentyűzetének utasításait a készpénzkiadásra.

Man-in-the-Middle:

  • A csalók olyan eszközt telepítenek, amely meghamisítja az ATM PC vagy “fekete doboz” és a pénzkiadó egység közötti kommunikációs vonalat. A legtöbb esetben egy soros RS232- vagy USB-kapcsolat.
  • A rosszindulatú szoftver meghamisítja az állomás válaszait, hogy pénzt vegyen fel anélkül, hogy a csaló számláját megterhelné.

Az teszi érdekessé ezeket a támadásokat egyes bűnözők számára, hogy a végrehajtáshoz alacsony technikai tudás szükséges. A dark weben rengeteg oktatóanyag és lépésről-lépésre útmutató áll rendelkezésre, hogy megkönnyítsék a dolgukat. Mégis, ezekhez a támadásokhoz bizonyos szintű fizikai hozzáférés szükséges az ATM-hez és a bűnöző személyazonosságának felfedése a kivitelezéshez. A bűnözők a jackpotolásnál kevésbé bonyolult módszerekkel is tudnak pénzt lopni ATM-ekből. Vannak olyan távoli támadások, amelyek nem támaszkodnak az ATM belsejéhez való fizikai hozzáférésre, erre jó példa a közelmúltban történt Cosmos banki incidens.

Az ATM hálózatba bejuttatott rosszindulatú szoftverek

A támadók a pénzintézeti hálózatokon keresztül is megfertőzik az ATM-eket rosszindulatú szoftverekkel. Miután a támadó hozzáférést szerez egy bank hálózatához, egy távoli helyről rosszindulatú programot telepíthet, amely az ATM-et szolgai géppé alakítja át. A végső fázisban a támadó közvetlenül az ATM-nek küld utasításokat, megparancsolja neki, hogy adja ki a pénzt, és utasít egy öszvért, hogy vegye fel azt.

Cosmos Bank ATM-rablás

Ez év elején az észak-koreai kötődésű Lazarus Groupnak tulajdonított támadás 13,5 millió amerikai dollárt lopott el az indiai Cosmos Banktól egy agresszív támadás során, amely felfedte a bankok által a célzott kiberfenyegetések elleni védekezésben alkalmazott intézkedések korlátait. Egyelőre nem világos, hogyan sikerült a fenyegető szereplőknek kezdetben beszivárogniuk a bank hálózatába. Egy biztonsági kutatás szerint a fenyegetőszereplő tipikus működési módja alapján a támadók egy spear-phishing e-mailen keresztül törtek be, majd oldalirányban, a bank hálózatán belül mozogtak, veszélyeztetve az intézmény ATM-infrastruktúráját.

Ez nem a tipikus alapvető card-not-present (CNP) vagy jackpot-támadás volt. A támadás egy fejlettebb, jól megtervezett és jól koordinált művelet volt, amely a bank infrastruktúrájára összpontosított, hatékonyan megkerülve az Europol ATM-támadások enyhítésére vonatkozó iránymutatása szerinti négy fő védelmi réteget. A kezdeti kompromittálást követően a támadók valószínűleg vagy a gyártó ATM-tesztszoftverét használták fel, vagy a jelenleg alkalmazott ATM fizetési kapcsoló szoftverén végeztek módosításokat, hogy rosszindulatú proxy kapcsolót (MPS) hozzanak létre. Ennek eredményeképpen a fizetési kapcsolóról a tranzakció engedélyezéséhez küldött adatokat soha nem továbbították a Core Banking Solution (CBS) felé, így a kártyaszám, a kártya állapota (Cold, Warm, Hot), a PIN-kód és egyéb adatok ellenőrzése soha nem történt meg. Ehelyett a kérést a támadók által telepített MPS kezelte, amely hamis válaszokat küldött a tranzakciók engedélyezésére.

Az FBI globális ATM cash-out rendszerre figyelmezteti a pénzintézeteket

A hírmédia arról számolt be, hogy a Szövetségi Nyomozó Iroda (FBI) figyelmezteti a pénzintézeteket, hogy kiberbűnözők egy jól megtervezett, globális csalási rendszer végrehajtására készülnek, amely “ATM cash-out” néven ismert. Az FBI a tervet egy bank vagy bankkártya-feldolgozó feltörésével és klónozott kártyák használatával hozza összefüggésbe a világ pénzkiadó automatáinál. Ez a technika lehetővé tenné több millió dollár csalárd módon történő kivonását néhány óra alatt. A figyelmeztetést mindössze néhány nappal a Cosmos Bank kirablása előtt adták ki, de a másolatokkal kapcsolatos aggodalmak továbbra is fennállnak.

Javaslatok

Javaslatok ATM-üzemeltetőknek és pénzügyi szolgáltató intézményeknek

  • Az EMV biztonsági szabványok bevezetése. Az EMV egy olyan fizetési módszer, amely az intelligens fizetési kártyák (más néven chipkártyák vagy IC-kártyák) és az azokat elfogadó fizetési terminálok és bankautomaták technikai szabványán alapul.
  • Tekintse át az ATM-ek fizikai biztonságát, és fontolja meg a minőségi és robusztus fizikai biztonsági megoldásokba és ATM biztonsági riasztóba való befektetést.
  • Védje az ATM felső rekeszét (top box), amely a számítógépet tartalmazza. Ezt a területet behatolásjelzővel kell biztosítani az illetéktelen nyitás megakadályozása érdekében, vagy meg kell változtatni a felső doboz hozzáférési zárját, hogy elkerülhető legyen a gyártó által biztosított alapértelmezett mesterkulcsok használata.
  • Az önkiszolgáló terminálokhoz tervezett speciális biztonsági megoldások bevezetése. Olyan megoldások, amelyek az ATM-ek szoftverét egy intelligens ATM biztonsági menedzsment program segítségével naprakészen tartják. Fontolja meg az ATM-hez csatlakoztatott egyéb berendezések, például hálózati eszközök és modemek bevonását a biztonsági menedzsmentprogramba.
  • Proaktívan jelentse a bűnüldöző hatóságoknak az egyes egységeken történő szokatlan összegű pénzfelvételeket.
  • Valós idejű csalásfelismerő rendszer vagy mesterséges intelligencia szoftverek használata az ATM-lopások, pénzmosás és egyéb pénzügyi bűncselekmények kiszűrésére.
  • A PC operációs rendszer biztonsági szabályzatának szigorítása a jogosultságokkal való visszaélés, az alapértelmezett fiókok, a rosszindulatú szoftverek telepítése és az erőforrásokhoz, például USB-portokhoz/CD-khez/DVD-khez/merevlemezekhez való jogosulatlan hozzáférés megakadályozása érdekében.
  • Bizonyosodjon meg arról, hogy a BIOS csak az ATM merevlemezéről indítható.
  • Tiltsa le alapértelmezés szerint a cserélhető adathordozókról történő indítást az ATM-hez kapcsolódó bármely eszközön.
  • Blokkolja az ismeretlen USB-eszközök használatát alapértelmezés szerint az ATM-hez kapcsolódó bármely eszközön.
  • Győződjön meg arról, hogy az AUTORUN teljes mértékben és hatékonyan le van tiltva az ATM-hez kapcsolódó bármely eszközön.
  • Vezessen be merevlemez-titkosítást a merevlemez tartalmának illetéktelen megváltoztatásának megakadályozása érdekében.
  • Vezessen be erős jelszókövetelményeket és kétfaktoros hitelesítést fizikai vagy digitális token használatával, amennyiben lehetséges, a helyi ATM-adminisztrátorok számára. Fontolja meg a robusztus jelszókezelési irányelvek alkalmazását. A legjobb gyakorlat szerint ezeknek a jelszavaknak olyan összetettnek kell lenniük, amennyire a BIOS képes támogatni.
  • Korlátozza a nem engedélyezett alkalmazások használatát, hogy megakadályozza a rosszindulatú programok végrehajtását.
  • Fogalmazzon meg egy olyan szabályzatot, amely biztonságos és rendszeres szoftverfrissítéseket határoz meg az ATM-mel kapcsolatos eszközökre telepített valamennyi szoftver számára.
  • Figyelje a nem szabványos portokon keresztül közlekedő titkosított forgalmat.
  • Figyelje a hálózati forgalmat olyan régiókba, ahol a pénzintézetből kimenő kapcsolatok általában nem fordulnak elő.
  • Konfigurálja a rendszert úgy, hogy csak a pénzkiadó automatánál történő hitelesítést igénylő kezdeti kommunikációt fogadjon el. pl. a széfhez való fizikai hozzáféréssel. Ez megakadályozhatja, hogy illetéktelen eszközök parancsokat küldjenek a pénzkiadó automatának.
  • Határozzon meg olyan szabályokat, amelyek megakadályozzák a kommunikáció védelmének megkerülését pl. a firmware visszaállításával vagy az üzenetek újrajátszásával.
  • Tűzfal létrehozása az ATM-be irányuló minden bejövő kommunikáció korlátozására.
  • Alkalmazzon kommunikációs hitelesítési és titkosítási védelmet az ATM teljes hálózati forgalmára. Az ajánlás a TLS 1.2 vagy VPN használata, valamint az érzékeny üzenetek kriptográfiai hitelesítését biztosító MAC-kezelés bevezetésével.

Elterületi ATM-üzemeltetőknek szóló ajánlások

  • Gondoskodjon arról, hogy az ATM nyitott, jól megvilágított környezetben legyen, amelyet látható biztonsági kamerák felügyelnek. Az ATM-et biztonságosan rögzíteni kell a padlóhoz egy olyan kiesésgátló eszközzel, amely elriasztja a bűnözőket.
  • Rendszeresen ellenőrizze az ATM-et a harmadik fél által csatlakoztatott eszközök (skimmerek) jelei után.
  • Legyen résen az ATM-technikusnak álcázott bűnözők által elkövetett social engineering támadásokkal szemben.
  • Vezessen be behatolásjelzőket, és ennek megfelelően járjon el, és értesítse a bűnüldöző hatóságokat minden lehetséges behatolásról.
  • Figyeljen arra, hogy az ATM-et csak egyetlen napi tevékenységre elegendő készpénzzel töltse fel.

Záró megjegyzések

A 2010-es Black Hat konferencián mutatták be a világnak az első nyilvánosan ismert ATM exploitot. Évekkel később a csalók és pénzszállító futtatóik a jelentések szerint aktívak lettek a jackpot-támadásokban, amit az ATM-üzemeltetők EMV-technológia lassú elfogadása, a laza fizikai biztonság, a rossz felügyelet és karbantartás ösztönzött. Az e bűncselekmények végrehajtásához szükséges eszközöket és technikákat leíró információk is széles körben elérhetővé váltak a sötét weben. Mindezek a tényezők ideális környezetet teremtettek e bűncselekmény virágzásához. Mégis, a csalók számára bizonyos szintű kockázatot jelent, mivel a támadás végrehajtásához fizikai jelenlétre van szükség. Az ATM-hálózaton alapuló támadások a következő legjobb technika a csalók számára a biztonságosabb és hatékonyabb készpénzfelvételhez. A közelmúltban történt Cosmos incidens bizonyítja, hogy a bűnözők számára lehetséges, hogy néhány óra alatt nagy mennyiségű pénzt lopjanak el ATM-ekből, anélkül, hogy nyomot hagynának.

A bűnözők által az ATM-hálózat alapú támadások során alkalmazott TTP (taktikák/eszközök, technikák és eljárások) nagyon hasonlóak a kibertámadások más típusú célpontjainál használtakhoz. Ráadásul a kiberfenyegetések és biztonsági ajánlások, amelyek jellemzően a vállalati hálózatokra vonatkoznak, az ATM-ekre is érvényesek.

A közelmúltbeli biztonsági incidensek tükrében a pénzügyi szolgáltató intézmények biztonsági vezetőinek prioritásként kell megfontolniuk a vállalati hálózati biztonsági intézkedések kiterjesztését az ATM-hálózatokra, csökkentve az ilyen pusztító ATM-kasszás támadásoknak való kitettség kockázatát.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.