Aproape fiecare bancomat din lume ar putea fi accesat fraudulos sau jefuit, cu sau fără ajutorul unui program malware. Potrivit unei cercetări a experților Kaspersky Lab, acest lucru se întâmplă din cauza folosirii frecvente a unui software învechit și nesigur, a greșelilor de configurare a rețelei și a lipsei de măsuri de securitate pentru părțile critice ale ATM-ului, în mediul real.
Timp de mai mulți ani, cea mai mare amenințare pentru utilizatorii și deținătorii de ATM-uri erau aparatele de tip “skimmers” – dispozitive atașate unui ATM pentru a fura datele de pe benzile magnetice ale cardurilor. Dar, pe măsură ce tehnicile malware au evoluat, bancomatele sunt expuse la pericole mai mari. În 2014, cercetătorii Kaspersky Lab au descoperit Tyupkin – unul dintre cele mai cunoscute exemple de malware pentru ATM-uri, iar în 2015 experții companiei au descoperit gruparea Carbanak – care, printre altele, era capabilă să dea lovituri asupra ATM-urilor, compromițând întreaga infrastructură bancară. Ambele modalități de atac din aceste exemple erau posibile prin exploatarea câtorva vulnerabilități comune în tehnologia ATM-urilor și în infrastructura din spatele acestora.
În încercarea de a evidenția toate problemele de securitate privind bancomatele, specialiștii în teste de intruziune de la Kaspersky Lab au făcut o cercetare pe baza investigării unor atacuri reale și a rezultatelor evaluărilor de securitate a ATM-urilor pentru mai multe bănci internaționale.
În cadrul cercetării, experții au demonstrat că atacurile malware împotriva ATM-urilor sunt posibile din cauza mai multor probleme de securitate. În primul rând, toate bancomatele sunt computere care funcționează cu sisteme de operare învechite, cum este Windows XP. Astfel, bancomatele sunt vulnerabile la infectarea cu malware pentru PC și la atacuri prin intermediul exploit-urilor. În marea majoritate a cazurilor, programele speciale care permit PC-urilor să interacționeze cu infrastructura bancară și cu unitățile hardware, cu procesarea numerarului și a cardurilor, sunt bazate pe standarde XFS (eXtensions for Financial Services). Aceasta este o specificație destul de veche și nesigură, creată inițial pentru a standardiza software-ul pentru ATM-uri, pentru a funcționa pe orice echipament, indiferent de producător. În cazul în care un program malware reușește să infecteze un ATM, primește puteri aproape nelimitate în materie de control: poate transforma PIN pad-ul si cititorul de card în skimmer sau, pur și simplu, poate face să fie eliberați toți banii pe care îi are bancomatul în interior, la comanda unui hacker.
În numeroase cazuri observate de cercetătorii Kaspersky Lab, infractorii nu trebuie să folosească programe malware pentru a infecta un ATM sau rețeaua bancară din care face parte acesta. Acest lucru este posibil din cauza absenței măsurilor de securitate în mediul real, care să protejeze bancomatele. Foarte frecvent, acestea sunt construite și instalate în așa fel încât o terță parte să poată avea acces ușor la calculatorul din interiorul ATM-ului sau la cablul de rețea care conectează aparatul la Internet.
Dacă obțin acces fizic, fie și parțial, la ATM, infractorii ar putea să:
• Instaleze un microcomputer programat special (așa-numita cutie neagră), în interiorul ATM-ului, care le va da atacatorilor acces de la distanță la ATM;
• Reconecteze ATM-ul la un fals centru de procesare.
Un fals centru de procesare este un program care procesează datele de plată și este identic cu programul folosit de bancă, în ciuda faptului că nu îi aparține acesteia. Odată ce ATM-ul este reconectat la un centru fals, atacatorii pot da orice comandă vor ei, iar bancomatul o va efectua.
Conexiunea dintre ATM-uri și centrul de procesare poate fi protejată în mai multe moduri. De exemplu, folosirea unui VPN, criptare SSL/TLS, un firewall sau autentificare MAC, implementarea unor protocoale xDC. Cu toate acestea, astfel de măsuri nu sunt implementate prea des. Iar atunci când sunt, se întâmplă să fie configurate greșit, lucru descoperit doar în timpul unei evaluări de securitate a ATM-ului. Prin urmare, infractorii nu trebuie să manipuleze hardware-ul, ci profită de punctele slabe din comunicarea dintre ATM și infrastructura bancară.
Cum se poate opri jefuirea ATM-urilor
“Rezultatele cercetării noastre arată că, deși companiile încearcă să implementeze acum caracteristici de securitate solidă pentru ATM-uri, multe bănci folosesc încă modele vechi, nesecurizate, fiind nepregătite în fața infractorilor. Aceasta este realitatea actuală, care le cauzează băncilor și clienților lor pierderi financiare uriașe. Din punctul nostru de vedere, cauza este o prejudecată veche, și anume că infractorii cibernetici sunt interesați doar de atacuri împotriva Internet banking-ului. Și sunt, într-adevăr, interesați de astfel de atacuri, dar văd, din ce în ce mai mult, valoarea exploatării vulnerabilităților ATM-urilor, pentru că atacurile directe împotriva acestor dispozitive le scurtează semnificativ drumul până la banii reali”, spune Olga Kochetova, Security expert la departamentul Kaspersky Lab Penetration Testing.
Chiar dacă problemele de securitate menționate mai sus afectează numeroase ATM-uri din lume, nu înseamnă că situația nu poate fi rezolvată. Producătorii de ATM-uri pot reduce riscul atacurilor asupra dispozitivelor de numerar luând câteva măsuri:
• În primul rând, trebuie să revizuiască standardul XFS, punând accent pe siguranță și să introducă autentificarea în doi pași între dispozitive și programele legitime. Aceste măsuri vor contribui la reducerea riscului de retrageri neautorizate de numerar folosind troieni și de obținerea a controlului asupra bancomatelor, de către atacatori.
• În al doilea rând, este necesară implementarea unei “distribuiri autentificate” pentru a exclude posibilitatea de atacuri prin intermediul unor false centre de procesare.
• În al treilea rând, este necesară implementarea criptării și controlul integrității datelor transmise între unitățile hardware și PC-urile din ATM-uri.