Introduzione

È stato un anno impegnativo per l’industria dei servizi finanziari e per i produttori di ATM con un numero crescente di incidenti e varianti di attacchi cash-out. Il Jackpotting – conosciuto anche come “black box attack” – si riferisce ad attacchi in cui un ATM viene manipolato per erogare tutto il suo contante, simile ad una slot machine dopo un jackpot in un casinò, è riferito in aumento dall’inizio dell’anno. La settimana scorsa, le autorità di polizia hanno notificato alle istituzioni di servizi finanziari la minaccia di attacchi logici coordinati ai bancomat conosciuti come “ATM cashout”. Inoltre, il recente attacco alla banca Cosmos in India – attribuito al gruppo nordcoreano Lazarus – sebbene non sia considerato un tipico attacco di jackpotting, rivela che l’infrastruttura ATM di alcune entità di servizi finanziari è ancora vulnerabile, in particolare agli attacchi logici. Questa nota informativa esamina gli attacchi ai bancomat e le debolezze che questo può rivelare nel settore dei servizi finanziari.

Informazioni contestuali

I bancomat continuano ad essere un obiettivo redditizio per i criminali, che utilizzano vari metodi per generare entrate illegali. Mentre alcuni si affidano a metodi fisicamente distruttivi attraverso l’uso di strumenti di taglio del metallo, altri scelgono le infezioni da malware, permettendo loro di manipolare i bancomat dall’interno.

I criminali usano diversi strumenti e tecniche (fisiche, logiche o combinate) per accedere alla “scatola nera” dei bancomat e bypassare tutti i controlli di sicurezza forzando l’incasso di tutto il denaro. Con alcune eccezioni, ogni bancomat ha la stessa funzionalità, un meccanismo di erogazione di denaro che è controllato da un sistema operativo che utilizza un personal computer (PC) e quindi, esposto al rischio di attacchi logici. Gli attacchi malware, una sottocategoria di questi attacchi logici, stanno diventando sempre più popolari tra i criminali informatici.

Esempi di strumenti usati negli attacchi Jackpotting

Endoscopio – Dispositivi medici stretti, simili a tubi con telecamere alle estremità, tipicamente usati per vedere all’interno del corpo umano. Usato dai truffatori per vedere all’interno del bancomat e individuare i punti vulnerabili.

Malware Tiupkin – Pezzo di malware che permette agli attaccanti di svuotare le cassette del bancomat tramite manipolazione diretta. Identificato per la prima volta dai ricercatori di sicurezza nel 2013 come Backdoor.MSIL.Tyupkin, che colpisce gli ATM di un importante produttore che esegue Microsoft Windows 32-bit.

Malware Ploutus.D – Identificato dal nome del file “AgilisConfigurationUtility.exe”, è una delle famiglie di malware ATM più avanzate, scoperto per la prima volta in Messico nel 2013. Questo malware, una volta installato tramite porta USB, permette ai criminali di svuotare i bancomat utilizzando una tastiera esterna collegata alla macchina o tramite messaggio SMS.

Cutlet Maker, c0decalc e Stimulator in un kit di strumenti malware – Kit malware progettato con l’aiuto di un’API specifica del fornitore ATM, i media hanno riferito. Per rendere operativo un attacco utilizzando questo kit, i criminali devono ottenere un accesso diretto all’interno del bancomat e raggiungere una delle porte USB, che viene utilizzata per caricare il malware. Il c0decalc genera una password per garantire il copyright dell’autore del malware. Lo stimolatore recupera le informazioni di stato delle cassette di cassa ATM di un fornitore specifico (come la valuta, il valore e la quantità di banconote).

Esempi di tecniche utilizzate negli attacchi Jackpotting:

Manipolazione del disco rigido dell’ATM:

  • I truffatori travestiti da tecnici ATM o attraverso un “mulo di denaro” sul posto sostituiscono il disco rigido dell’ATM con uno nuovo (possibilmente utilizzando un thumb drive carico di malware), per abilitare comandi di erogazione non autorizzati all’unità di erogazione del denaro.
  • Opzionalmente, il disco rigido del bancomat può essere rimosso, infettato da malware, e reinserito invece di essere sostituito con un disco rigido fornito dall’attaccante.
  • Inoltre, i sensori vengono manipolati utilizzando un endoscopio per ingannare il sistema di autenticazione. In questo modo, i protocolli di comunicazione criptati vengono aggirati nell’attacco.

Black Box Attack:

  • Frauditori vestiti da tecnici disconnettono il PC dell’ATM o “scatola nera” disabilitando le misure di sicurezza logica.
  • Un endoscopio viene utilizzato per guardare all’interno del bancomat e localizzare la parte interna del bancomat dove un cavo può essere collegato, permettendo la sincronizzazione tra il computer portatile del criminale e il computer del bancomat.
  • Il bancomat viene rimesso in funzione con il malware già installato e in esecuzione sullo sfondo della macchina, in attesa di istruzioni dalla tastiera del bancomat per erogare il contante.

Man-in-the-Middle:

  • I truffatori installano un dispositivo che manomette la linea di comunicazione tra il PC del bancomat o “scatola nera” e l’unità erogatrice. Nella maggior parte dei casi una connessione seriale RS232 o USB.
  • Il malware finge le risposte dell’host per prelevare denaro senza addebitare il conto del truffatore.

Quello che rende questi attacchi interessanti per certi criminali è la bassa conoscenza tecnica richiesta per eseguirli. Ci sono un sacco di tutorial e guide passo dopo passo disponibili sul dark web per rendere le cose più facili per loro. Tuttavia, questi attacchi richiedono un certo livello di accesso fisico al bancomat e l’esposizione dell’identità del criminale per poterlo fare. I criminali possono rubare denaro dai bancomat usando metodi meno complicati del jackpotting. Ci sono attacchi remoti che non si basano sull’accesso fisico all’interno del bancomat, che il recente incidente della banca Cosmos è un buon esempio.

Malware iniettato nella rete bancomat

Gli aggressori stanno anche infettando i bancomat con malware attraverso le reti delle istituzioni finanziarie. Una volta che un aggressore ottiene l’accesso alla rete di una banca, può installare il malware da una postazione remota trasformando il bancomat in una macchina schiava. La fase finale sarebbe per l’attaccante di inviare istruzioni direttamente al bancomat, comandargli di erogare il denaro, e ordinare un mulo per raccoglierlo.

Truffa bancomat Cosmos Bank

All’inizio di questo mese, un attacco attribuito al gruppo Lazarus legato alla Corea del Nord è stato responsabile del furto di 13,5 milioni di dollari dalla Cosmos Bank dell’India in un attacco aggressivo che ha esposto i limiti delle misure che le banche usano per difendersi dalle minacce informatiche mirate. Non è ancora chiaro come gli attori della minaccia siano riusciti a infiltrarsi inizialmente nella rete della banca. Secondo una ricerca sulla sicurezza, basata su come questo attore di minacce opera tipicamente, gli aggressori hanno fatto irruzione tramite una e-mail di spear-phishing e poi si sono spostati lateralmente, all’interno della rete della banca, compromettendo l’infrastruttura ATM dell’istituto.

Questo non era il tipico attacco di base card-not-present (CNP) o jackpotting. L’attacco è stato un’operazione più avanzata, ben pianificata e altamente coordinata che si è concentrata sull’infrastruttura della banca, bypassando efficacemente i quattro principali livelli di difesa secondo la guida di Europol per la mitigazione degli attacchi ATM. Dopo la compromissione iniziale, gli aggressori molto probabilmente hanno sfruttato il software di prova ATM del fornitore o hanno apportato modifiche al software dell’interruttore di pagamento ATM attualmente implementato per creare un interruttore proxy maligno (MPS). Come risultato, i dettagli inviati dall’interruttore di pagamento per autorizzare la transazione non sono mai stati inoltrati alla Core Banking Solution (CBS), quindi i controlli sul numero della carta, lo stato della carta (freddo, caldo, caldo), il PIN e altro non sono mai stati eseguiti. Invece, la richiesta è stata gestita dal MPS distribuito dagli attaccanti, inviando risposte false che autorizzano le transazioni.

FBI avverte le istituzioni finanziarie su uno schema globale di ATM cash-out

I media hanno riferito che, il Federal Bureau of Investigation (FBI) sta avvertendo le istituzioni finanziarie che i criminali informatici si stanno preparando a portare avanti uno schema di frode globale altamente coreografato, noto come “ATM cash-out”. L’FBI ha associato lo schema all’hacking di una banca o di un processore di carte di pagamento e l’uso di carte clonate ai bancomat di tutto il mondo. Questa tecnica permetterebbe il ritiro fraudolento di milioni di dollari in poche ore. L’avvertimento è stato emesso solo pochi giorni prima della rapina alla Cosmos Bank, ma le preoccupazioni sulle repliche sono ancora eminenti.

Raccomandazioni

Raccomandazioni per operatori di bancomat e istituzioni di servizi finanziari

  • Implementare gli standard di sicurezza EMV. EMV è un metodo di pagamento basato su uno standard tecnico per le carte di pagamento intelligenti (chiamate anche chip card o IC card) e per i terminali di pagamento e gli sportelli automatici che possono accettarle.
  • Rivedere la sicurezza fisica degli ATM e considerare l’investimento in soluzioni di sicurezza fisica robuste e di qualità e l’allarme di sicurezza ATM.
  • Proteggere il vano superiore (top box) di un ATM che contiene il PC. Quest’area dovrebbe essere protetta da un allarme anti-intrusione per impedire l’apertura non autorizzata, o la serratura di accesso al bauletto dovrebbe essere cambiata per evitare l’uso di chiavi master predefinite fornite dal produttore.
  • Implementare soluzioni di sicurezza speciali progettate per terminali self-service. Soluzioni che mantengono aggiornato il software degli ATM attraverso un programma di gestione della sicurezza degli ATM intelligenti. Considerare l’inclusione di altre attrezzature collegate al bancomat, come dispositivi di rete e modem, nel programma di gestione della sicurezza.
  • Segnalare attivamente alle autorità di polizia qualsiasi prelievo di importi insoliti su unità specifiche.
  • Utilizzo di un sistema di rilevamento delle frodi in tempo reale o di un software di intelligenza artificiale per individuare furti di bancomat, riciclaggio di denaro e altri crimini finanziari.
  • Indurimento delle politiche di sicurezza del sistema operativo del PC per prevenire l’abuso di privilegi, account predefiniti, installazione di software dannoso e accesso non autorizzato a risorse come porte USB/CD/DVD/dischi rigidi.
  • Impostare il BIOS per avviare solo dal disco rigido ATM.
  • Disabilitare l’avvio da supporti rimovibili per impostazione predefinita in qualsiasi dispositivo collegato all’ATM.
  • Bloccare l’uso di dispositivi USB sconosciuti per impostazione predefinita in qualsiasi dispositivo collegato all’ATM.
  • Assicurarsi che l’AUTORUN sia stato completamente ed effettivamente disabilitato in qualsiasi dispositivo collegato all’ATM.
  • Installare la crittografia del disco rigido per impedire modifiche non autorizzate al contenuto del disco rigido.
  • Implementare requisiti di password forti e autenticazione a due fattori usando un token fisico o digitale quando possibile per gli amministratori ATM locali. Considerare politiche robuste di gestione delle password. Le migliori pratiche indicano che queste password dovrebbero essere complesse quanto il BIOS può supportare.
  • Limitare l’uso di applicazioni non approvate per bloccare l’esecuzione di malware.
  • Definire una politica che stabilisca aggiornamenti software sicuri e regolari per tutto il software installato sui dispositivi collegati all’ATM.
  • Monitorare il traffico crittografato che viaggia su porte non standard.
  • Monitorare il traffico di rete verso regioni in cui le connessioni in uscita dall’istituto finanziario non si verificano normalmente.
  • Configurare il sistema per accettare solo le comunicazioni iniziali che richiedono l’autenticazione al bancomat, ad esempio tramite accesso fisico alla cassaforte. Questo può impedire a dispositivi non autorizzati di inviare comandi all’erogatore di denaro.
  • Definire regole per inibire l’elusione della protezione della comunicazione, ad esempio tramite il rollback del firmware o la riproduzione dei messaggi.
  • Impostare un firewall per limitare tutte le comunicazioni in entrata all’ATM.
  • Applicare l’autenticazione della comunicazione e le protezioni di crittografia a tutto il traffico della rete ATM. La raccomandazione è di usare TLS 1.2 o una VPN, e implementando il MACing per fornire l’autenticazione crittografica dei messaggi sensibili.

Raccomandazioni per gli operatori ATM on-premise

  • Assicurati che l’ATM sia in un ambiente aperto, ben illuminato e monitorato da telecamere di sicurezza visibili. Il bancomat dovrebbe essere saldamente fissato al pavimento con un dispositivo anti-lasso che scoraggerà i criminali.
  • Controlla regolarmente il bancomat per i segni di dispositivi di terzi attaccati (skimmer).
  • Stai attento agli attacchi di ingegneria sociale da parte di criminali che possono essere mascherati da tecnici ATM.
  • Implementa gli allarmi anti intrusione e agisci di conseguenza, notificando le autorità di polizia di ogni potenziale violazione.
  • Considera di riempire il bancomat con denaro sufficiente per un solo giorno di attività.

Riservazioni conclusive

Il primo exploit ATM conosciuto pubblicamente è stato presentato al mondo alla Black Hat Conference del 2010. Anni dopo, i truffatori e i loro muli di denaro sono diventati attivi negli attacchi di jackpotting, incoraggiati dalla lenta adozione della tecnologia EMV da parte degli operatori ATM, dalla sicurezza fisica lassista, dallo scarso monitoraggio e manutenzione. Anche le informazioni che descrivono gli strumenti e le tecniche necessarie per condurre questi crimini sono diventate ampiamente disponibili sul dark web. Tutti questi fattori hanno creato l’ambiente ideale per far fiorire questa attività criminale. Tuttavia, c’è un certo livello di rischio per i truffatori, poiché richiede la presenza fisica per condurre l’attacco. Gli attacchi basati sulla rete ATM sono la prossima migliore tecnica per i truffatori per incassare in modo più sicuro ed efficiente. Il recente incidente Cosmos dimostra che è possibile per i criminali rubare grandi quantità di denaro dai bancomat in poche ore, senza lasciare tracce.

Le TTP (tattiche/strumenti, tecniche e procedure) usate dai criminali negli attacchi basati su reti ATM sono molto simili a quelle usate su altri tipi di obiettivi in un attacco informatico. Inoltre, le minacce informatiche e le raccomandazioni di sicurezza che si applicano tipicamente alle reti aziendali sono valide anche per gli ATM.

Nel regno di questi recenti incidenti di sicurezza, i responsabili della sicurezza degli istituti di servizi finanziari dovrebbero considerare l’estensione delle loro misure di sicurezza della rete aziendale alle reti ATM come una questione di priorità, mitigando i rischi di esposizione a questi devastanti attacchi ATM cash-out.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.