Kaspersky Lab: aproape fiecare bancomat din lume ar putea fi accesat fraudulos sau jefuit, cu sau fără ajutorul unui program malware

Potrivit unei cercetari a expertilor Kaspersky Lab, acest lucru se intampla din cauza folosirii frecvente a unui software invechit si nesigur, a greselilor de configurare a retelei si a lipsei de masuri de securitate pentru partile critice ale ATM-ului, in mediul real.

Timp de mai multi ani, cea mai mare amenintare pentru utilizatorii si detinatorii de ATM-uri erau aparatele de tip “skimmers” – dispozitive atasate unui ATM pentru a fura datele de pe benzile magnetice ale cardurilor. Dar, pe masura ce tehnicile malware au evoluat, bancomatele sunt expuse la pericole mai mari. In 2014, cercetatorii Kaspersky Lab au descoperit Tyupkin – unul dintre cele mai cunoscute exemple de malware pentru ATM-uri, iar in 2015 expertii companiei au descoperit gruparea Carbanak – care, printre altele, era capabila sa dea lovituri asupra ATM-urilor, compromitand intreaga infrastructura bancara.

Ambele modalitati de atac din aceste exemple erau posibile prin exploatarea catorva vulnerabilitati comune in tehnologia ATM-urilor si in infrastructura din spatele acestora.

In incercarea de a evidentia toate problemele de securitate privind bancomatele, specialistii in teste de intruziune de la Kaspersky Lab au facut o cercetare pe baza investigarii unor atacuri reale si a rezultatelor evaluarilor de securitate a ATM-urilor pentru mai multe banci internationale.

In cadrul cercetarii, expertii au demonstrat ca atacurile malware impotriva ATM-urilor suntposibile din cauza mai multor probleme de securitate. In primul rand, toate bancomatele sunt computere care functioneaza cu sisteme de operare invechite, cum este Windows XP. Astfel, bancomatele sunt vulnerabile la infectarea cu malware pentru PC si la atacuri prin intermediul exploit-urilor. In marea majoritate a cazurilor, programele speciale care permit PC-urilor sa interactioneze cu infrastructura bancara si cu unitatile hardware, cu procesarea numerarului si a cardurilor, sunt bazate pe standarde XFS (eXtensions for Financial Services). Aceasta este o specificatie destul de veche si nesigura, creata initial pentru a standardiza software-ul pentru ATM-uri, pentru a functiona pe orice echipament, indiferent de producator.

In cazul in care un program malware reuseste sa infecteze un ATM, primeste puteri aproape nelimitate in materie de control: poate transforma PIN pad-ul si cititorul de card in skimmer sau, pur si simplu, poate face sa fie eliberati toti banii pe care ii are
bancomatul in interior, la comanda unui hacker.

In numeroase cazuri observate de cercetatorii Kaspersky Lab, infractorii nu trebuie sa foloseasca programe malware pentru a infecta un ATM sau reteaua bancara din care face parte acesta. Acest lucru este posibil din cauza absentei masurilor de securitate in mediul
real, care sa protejeze bancomatele. Foarte frecvent, acestea sunt construite si instalate in asa fel incat o terta parte sa poata avea acces usor la calculatorul din interiorul ATM-ului sau la cablul de retea care conecteaza aparatul la Internet. Daca obtin acces fizic, fie si partial, la ATM, infractorii ar putea sa:
– Instaleze un microcomputer programat special (asa-numita cutie neagra), in interiorul ATM-ului, care le va da atacatorilor acces de la distanta la ATM;
– Reconecteze ATM-ul la un fals centru de procesare.

Un fals centru de procesare este un program care proceseaza datele de plata si este identic cu programul folosit de banca, in ciuda faptului ca nu ii apartine acesteia. Odata ce ATM-ul este reconectat la un centru fals, atacatorii pot da orice comanda vor ei, iar bancomatul o va efectua.
Conexiunea dintre ATM-uri si centrul de procesare poate fi protejata in mai multe moduri. De exemplu, folosirea unui VPN, criptare SSL/TLS, un firewall sau autentificare MAC, implementarea unor protocoale xDC. Cu toate acestea, astfel de masuri nu sunt implementate prea des. Iar atunci cand sunt, se intampla sa fie configurate gresit, lucru descoperit doar in timpul unei evaluari de securitate a ATM-ului. Prin urmare, infractorii nu trebuie sa manipuleze hardware-ul, ci profita de punctele slabe din comunicarea dintre ATM si infrastructura bancara.

Cum se poate opri jefuirea ATM-urilor
“Rezultatele cercetarii noastre arata ca, desi companiile incearca sa implementeze acum caracteristici de securitate solida pentru ATM-uri, multe banci folosesc inca modele vechi, nesecurizate, fiind nepregatite in fata infractorilor. Aceasta este realitatea actuala, care le cauzeaza bancilor si clientilor lor pierderi financiare uriase. Din punctul nostru de vedere, cauza este o prejudecata veche, si anume ca infractorii cibernetici sunt interesati doar de atacuri impotriva Internet banking-ului. Si sunt, intr-adevar, interesati de astfel de atacuri, dar vad, din ce in ce mai mult, valoarea exploatarii vulnerabilitatilor ATM-urilor, pentru ca atacurile directe impotriva acestor dispozitive le scurteaza semnificativ drumul pana la banii reali”, spune Olga Kochetova, Security expert la departamentul Kaspersky Lab Penetration Testing.

Chiar daca problemele de securitate mentionate mai sus afecteaza numeroase ATM-uri din lume, nu inseamna ca situatia nu poate fi rezolvata. Producatorii de ATM-uri pot reduce riscul atacurilor asupra dispozitivelor de numerar luand cateva masuri:
– In primul rand, trebuie sa revizuiasca standardul XFS, punand accent pe siguranta si sa introduca autentificarea in doi pasi intre dispozitive si programele legitime. Aceste masuri vor contribui la reducerea riscului de retrageri neautorizate de numerar
folosind troieni si de obtinerea a controlului asupra bancomatelor, de catre atacatori.
– In al doilea rand, este necesara implementarea unei “distribuiri autentificate” pentru a exclude posibilitatea de atacuri prin intermediul unor false centre de procesare.
– In al treilea rand, este necesara implementarea criptarii si controlul integritatii datelor transmise intre unitatile hardware si PC-urile din ATM-uri.