Introducere

A fost un an plin de provocări pentru industria serviciilor financiare și pentru producătorii de bancomate, cu un număr tot mai mare de incidente și variante de atacuri de retragere a banilor. Jackpotting – cunoscut și sub numele de „atac cu cutie neagră” – se referă la atacurile în care un bancomat este manipulat pentru a distribui toți banii în numerar, similar cu un slot machine după un jackpot într-un cazinou, se pare că este în creștere de la începutul anului. Săptămâna trecută, autoritățile de aplicare a legii au notificat instituțiile de servicii financiare cu privire la amenințarea unor atacuri logice coordonate asupra bancomatelor, cunoscute sub numele de „ATM cashouts”. În plus, atacul recent asupra băncii Cosmos din India – atribuit grupului nord-coreean Lazarus – deși nu este considerat un atac tipic de jackpotting, arată că infrastructura ATM a anumitor entități de servicii financiare este în continuare vulnerabilă, în special la atacurile logice. Această notă informativă trece în revistă atacurile de tip cash-out la ATM-uri și punctele slabe pe care acestea le pot dezvălui din industria serviciilor financiare.

Informații contextuale

ATM-urile continuă să fie o țintă profitabilă pentru infractori, care folosesc diverse metode pentru a genera venituri ilegale. În timp ce unii se bazează pe metode de distrugere fizică prin utilizarea de instrumente de tăiere a metalelor, alții aleg infecțiile cu malware, care le permit să manipuleze bancomatele din interior.

Criminalii folosesc diferite instrumente și tehnici (fizice, logice sau combinate) pentru a accesa „cutia neagră” a bancomatelor și a ocoli toate controalele de securitate, forțând retragerea tuturor banilor din bancomat. Cu unele excepții, fiecare bancomat are aceeași funcționalitate, un mecanism de distribuire a banilor care este controlat de un sistem de operare care utilizează un computer personal (PC) și, prin urmare, este expus riscului de atacuri logice. Atacurile malware, o subcategorie a acestor atacuri logice, devin din ce în ce mai populare în rândul infractorilor cibernetici.

Exemple de instrumente utilizate în atacurile de Jackpotting

Endoscop – Dispozitive medicale înguste, asemănătoare unor tuburi, cu camere de luat vederi la capete, utilizate de obicei pentru a vedea în interiorul corpului uman. Folosit de escroci pentru a vedea în interiorul bancomatului și a localiza punctele vulnerabile.

Malware Tyupkin – Fragment de malware care permite atacatorilor să golească casetele de numerar ale bancomatului prin manipulare directă. Identificată pentru prima dată de către cercetătorii în domeniul securității în 2013 ca Backdoor.MSIL.Tyupkin, afectând ATM-uri de la un producător important care rulează Microsoft Windows pe 32 de biți.

Malware Ploutus.D – Identificat prin numele de fișier „AgilisConfigurationUtility.exe”, este una dintre cele mai avansate familii de malware pentru ATM-uri, descoperită pentru prima dată în Mexic în 2013. Acest malware, odată instalat prin intermediul unui port USB, le permite infractorilor să golească bancomatele folosind fie o tastatură externă atașată la aparat, fie prin intermediul unui mesaj SMS.

Cutlet Maker, c0decalc și Stimulator într-un kit de instrumente malware – Kit de malware conceput cu ajutorul unui API specific furnizorului de bancomate, potrivit presei de știri. Pentru a operaționaliza un atac cu ajutorul acestui kit, infractorii trebuie să obțină acces direct în interiorul bancomatului și să ajungă la unul dintre porturile USB, care este utilizat pentru a încărca malware-ul. C0decalc generează o parolă pentru a garanta drepturile de autor ale autorului malware-ului. Stimulatorul recuperează informațiile de stare ale casetelor de numerar ale bancomatului de la un anumit furnizor (cum ar fi moneda, valoarea și cantitatea de bancnote).

Exemple de tehnici utilizate în atacurile Jackpotting:

Manipulare a hard disk-ului ATM-ului:

  • Fraudele deghizate în tehnicieni de bancomat sau prin intermediul unui „catâr de bani” de la fața locului înlocuiesc hard disk-ul bancomatului cu unul nou (eventual folosind un stick încărcat cu malware), pentru a permite comenzi de distribuire neautorizate către unitatea de distribuire a banilor.
  • Opțional, hard disk-ul bancomatului poate fi îndepărtat, infectat cu malware și reinsertat în loc să fie înlocuit cu un hard disk furnizat de atacator.
  • În plus, senzorii sunt manipulați cu ajutorul unui endoscop pentru a păcăli sistemul de autentificare. În acest fel, protocoalele de comunicare criptate sunt ocolite în cadrul atacului.

Atac cu cutie neagră:

  • Fraudele îmbrăcate în tehnicieni deconectează PC-ul bancomatului sau „cutia neagră”, dezactivând măsurile logice de securitate.
  • Se folosește un endoscop pentru a privi în interiorul bancomatului și a localiza porțiunea internă a bancomatului unde poate fi atașat un cablu, permițând sincronizarea între laptopul infractorului și computerul bancomatului.
  • Bancomatul este pornit din nou pe ON cu malware-ul deja instalat și rulând pe fundalul mașinii, așteptând instrucțiuni de la tastatura bancomatului pentru a distribui banii.

Man-in-the-Middle:

  • Fraudatorii instalează un dispozitiv care manipulează linia de comunicare dintre PC-ul bancomatului sau „cutia neagră” și unitatea de distribuire. În cele mai multe cazuri, o conexiune serială RS232 sau USB.
  • Malware-ul falsifică răspunsurile gazdei pentru a retrage bani fără a debita contul escrocului.

Ceea ce face ca aceste atacuri să fie interesante pentru anumiți infractori sunt cunoștințele tehnice reduse necesare pentru a le executa. Există o mulțime de tutoriale și ghiduri pas cu pas disponibile pe dark web pentru a le face lucrurile mai ușoare. Cu toate acestea, aceste atacuri necesită un anumit nivel de acces fizic la bancomat și expunerea identității infractorului pentru a le realiza. Infractorii pot fura bani din bancomate folosind metode mai puțin complicate decât jackpotting-ul. Există atacuri de la distanță care nu se bazează pe accesul fizic la interiorul bancomatului, că recentul incident de la banca Cosmos este un bun exemplu.

Malware injectat în rețeaua de ATM-uri

Atacatorii infectează, de asemenea, ATM-urile cu malware prin intermediul rețelelor instituțiilor financiare. Odată ce un atacator obține acces la rețeaua unei bănci, acesta poate instala malware de la distanță, transformând ATM-ul într-o mașină sclav. Etapa finală ar fi ca atacatorul să trimită instrucțiuni direct la bancomat, să-i comande să distribuie banii și să ordone unui catâr să îi colecteze.

Cosmos Bank ATM Heist

La începutul acestei luni, un atac atribuit grupului Lazarus, legat de Coreea de Nord, a fost responsabil pentru furtul a 13,5 milioane de dolari americani de la Cosmos Bank din India, într-un atac agresiv care a scos la iveală limitările măsurilor pe care băncile le folosesc pentru a se apăra împotriva amenințărilor cibernetice țintite. Încă nu este clar cum au reușit actorii amenințării să se infiltreze inițial în rețeaua băncii. Potrivit unei cercetări de securitate, pe baza modului în care acest actor de amenințare operează de obicei, atacatorii au pătruns prin intermediul unui e-mail de spear-phishing și apoi s-au deplasat lateral, în cadrul rețelei băncii, compromițând infrastructura ATM a instituției.

Nu a fost un atac tipic de bază de tip card-not-present (CNP) sau de tip jackpotting. Atacul a fost o operațiune mai avansată, bine planificată și foarte bine coordonată, care s-a concentrat pe infrastructura băncii, ocolind în mod eficient cele patru straturi principale de apărare conform ghidului Europol de atenuare a atacurilor ATM. În urma compromiterii inițiale, atacatorii au folosit, cel mai probabil, fie software-ul de testare ATM al furnizorului, fie au efectuat modificări ale software-ului de comutare a plăților ATM implementat în prezent pentru a crea un comutator proxy rău intenționat (MPS). Ca urmare, detaliile trimise de la comutatorul de plăți pentru a autoriza tranzacția nu au fost niciodată transmise către soluția bancară centrală (CBS), astfel încât verificările privind numărul cardului, starea cardului (Cold, Warm, Hot), PIN-ul și altele nu au fost niciodată efectuate. În schimb, solicitarea a fost gestionată de MPS-ul implementat de atacatori, trimițând răspunsuri false de autorizare a tranzacțiilor.

FBI avertizează instituțiile financiare cu privire la o schemă globală de retragere a banilor de la bancomate

Media de știri a raportat că, Biroul Federal de Investigații (FBI) avertizează instituțiile financiare că infractorii cibernetici se pregătesc să realizeze o schemă de fraudă globală, extrem de coregrafiată, cunoscută sub numele de „retragere a banilor de la bancomate”. FBI a asociat această schemă cu piratarea unei bănci sau a unui procesator de carduri de plată și cu utilizarea de carduri clonate la bancomatele din întreaga lume. Această tehnică ar permite retragerea frauduloasă a milioane de dolari în doar câteva ore. Avertismentul a fost emis cu doar câteva zile înainte de jaful de la Cosmos Bank, dar îngrijorările privind replicile sunt încă eminente.

Recomandări

Recomandări pentru operatorii de bancomate și instituțiile de servicii financiare

  • Implementați standardele de securitate EMV. EMV este o metodă de plată bazată pe un standard tehnic pentru cardurile de plată inteligente (denumite și carduri cu cip sau carduri IC) și pentru terminalele de plată și bancomatele care le pot accepta.
  • Revizuiți securitatea fizică a bancomatelor și luați în considerare posibilitatea de a investi în soluții de securitate fizică de calitate și robuste și în alarme de securitate pentru bancomate.
  • Securizați compartimentul superior (top box) al unui bancomat care conține PC-ul. Această zonă ar trebui să fie securizată printr-o alertă de intruziune pentru a preveni deschiderea neautorizată sau încuietoarea de acces la cutia superioară ar trebui să fie schimbată pentru a evita utilizarea cheilor principale implicite furnizate de producător.
  • Implementați soluții speciale de securitate concepute pentru terminalele de autoservire. Soluții care mențin software-ul bancomatelor la zi prin intermediul unui program inteligent de gestionare a securității ATM-urilor. Luați în considerare includerea altor echipamente conectate la bancomat, cum ar fi dispozitivele de rețea și modemurile, în programul de gestionare a securității.
  • Raportați în mod proactiv autorităților de aplicare a legii orice retrageri de sume neobișnuite de pe anumite unități.
  • Utilizarea unui sistem de detectare a fraudelor în timp real sau a unui software de inteligență artificială pentru a depista furtul de bancomate, spălarea banilor și alte infracțiuni financiare.
  • Înăspriți politicile de securitate ale sistemului de operare al PC-ului pentru a preveni abuzul de privilegii, conturile implicite, instalarea de software malițios și accesul neautorizat la resurse precum porturi USB/CD/DVD-uri/dischete dure.
  • Setați BIOS-ul pentru a porni numai de pe hard disk-ul ATM.

  • Dezactivați implicit pornirea de pe suporturi amovibile în orice dispozitiv legat de ATM.
  • Blocați implicit utilizarea dispozitivelor USB necunoscute în orice dispozitiv legat de ATM.
  • Asigurați-vă că AUTORUN a fost complet și efectiv dezactivat în orice dispozitiv legat de ATM.
  • Implementați criptarea hard disk-ului pentru a preveni modificările neautorizate ale conținutului hard disk-ului.
  • Implementați cerințele privind parolele puternice și autentificarea cu doi factori folosind un token fizic sau digital, atunci când este posibil, pentru administratorii locali de ATM. Luați în considerare politici solide de gestionare a parolelor. Cele mai bune practici indică faptul că aceste parole ar trebui să fie atât de complexe pe cât poate suporta BIOS-ul.
  • Limitați utilizarea aplicațiilor neaprobate pentru a bloca executarea programelor malware.
  • Definiți o politică care să stabilească actualizări software sigure și regulate pentru toate programele instalate pe dispozitivele legate de ATM.
  • Supravegheați traficul criptat care călătorește prin porturi nestandardizate.
  • Supravegheați traficul de rețea către regiuni în care conexiunile de ieșire din instituția financiară nu au loc în mod normal.
  • Configurați sistemul pentru a accepta numai comunicările inițiale care necesită autentificare la bancomat. de exemplu, prin acces fizic la seif. Acest lucru poate împiedica dispozitivele neautorizate să trimită comenzi către bancomat.
  • Definiți reguli pentru a inhiba eludarea protecției comunicațiilor, de exemplu, prin anularea firmware-ului sau prin reluarea mesajelor.
  • Estabiliți un firewall pentru a restricționa toate comunicațiile de intrare în bancomat.
  • Aplicați protecții de autentificare și criptare a comunicațiilor la tot traficul din rețeaua bancomatului. Recomandarea este de a utiliza TLS 1.2 sau un VPN și prin implementarea MACing pentru a asigura autentificarea criptografică a mesajelor sensibile.

Recomandări pentru operatorii de ATM-uri la fața locului

  • Asigurați-vă că ATM-ul se află într-un mediu deschis, bine luminat, care este monitorizat de camere de securitate vizibile. Bancomatul ar trebui să fie fixat în siguranță pe podea cu un dispozitiv anti-lassoare care îi va descuraja pe infractori.
  • Verificați în mod regulat bancomatul pentru a vedea dacă există semne de dispozitive terțe atașate (skimmere).
  • Fiți atenți la atacurile de inginerie socială ale infractorilor care se pot deghiza în tehnicieni de bancomat.
  • Implementați alarmele de intruziune și acționați în consecință, notificând autoritățile de aplicare a legii cu privire la orice încălcare potențială.

  • Considerați posibilitatea de a umple ATM-ul cu doar suficienți bani pentru o singură zi de activitate.

Observații finale

Primul exploit ATM cunoscut public a fost prezentat lumii la Conferința Black Hat din 2010. Ani mai târziu, se pare că escrocii și mulii lor de bani au devenit activi în atacurile de tip „jackpotting”, încurajați de adoptarea lentă a tehnologiei EMV de către operatorii de bancomate, de securitatea fizică laxă, de monitorizarea și întreținerea deficitară. Informațiile care descriu instrumentele și tehnicile necesare pentru a efectua aceste infracțiuni au devenit, de asemenea, disponibile pe scară largă pe dark web. Toți acești factori au creat mediul ideal pentru ca această activitate infracțională să înflorească. Cu toate acestea, există totuși un anumit nivel de risc pentru escroci, deoarece este necesară prezența fizică pentru a efectua atacul. Atacurile bazate pe rețeaua de bancomate reprezintă următoarea cea mai bună tehnică pentru ca escrocii să încaseze bani în mod mai sigur și mai eficient. Recentul incident Cosmos demonstrează că este posibil ca infractorii să fure cantități mari de bani din bancomate în doar câteva ore, fără a lăsa urme.

TTP (tactici/instrumente, tehnici și proceduri) utilizate de infractori în atacurile bazate pe rețeaua ATM sunt foarte asemănătoare cu cele utilizate asupra altor tipuri de ținte în cadrul unui atac cibernetic. Mai mult, amenințările cibernetice și recomandările de securitate care se aplică în mod obișnuit rețelelor corporative sunt valabile și pentru ATM-uri.

În contextul acestor incidente de securitate recente, managerii de securitate din instituțiile de servicii financiare ar trebui să ia în considerare cu prioritate extinderea măsurilor de securitate a rețelelor corporative la rețelele ATM, reducând riscurile de expunere la aceste atacuri devastatoare de tip ATM cash-out.

.

Lasă un răspuns

Adresa ta de email nu va fi publicată.