A metà agosto, l’FBI ha lanciato l’allarme relativo a possibili attacchi su larga scala contro gli ATM (Automated Teller Machine – Macchina Distributrice Automatica).
L’informativa del Federal Bureau of Investigation comunicava ma soprattutto allertava le Banche mondiali che era ed è in fase di incubazione un attacco su larga scala con target proprio gli ATM. L’FBI ha chiamato l’operazione “ATM Cashout”.
Nella realtà dei fatti i Criminal Hacker sono attivi e proattivi nel settore ATM da molti anni. Soprattutto in questi ultimi due anni sono stati numerosi gli attacchi informatici con target proprio gli ATM. Le metodologie spaziano dai semplici e classici ATM Skimmer agli evoluti Swift ATM cyber-attack.
ATM Cyber Attack: Metodologie
Le tecniche e metodologie usate sono tante e diversificate. Illustreremo alcune delle tecniche, partendo da quelle tradizionali arrivando a quelle più evolute. Nel dettaglio, andremo ad analizzare:
– Swift ATM
– ATM Skimmer
– Bitcoin ATM Malware
Swift ATM Cyber Attack
Solo qualche settimana fa, a fine agosto, un gruppo di Criminal Hacker ha condotto un attacco contro la rete Swift / ATM di una banca sottraendo oltre 13,5 milioni di dollari. La vittima di questo attacco informatico è la Cosmos Bank, una delle banche più importanti e grandi in India.
Gli attacchi Swift ATM rappresentano sicuramente un’evoluzione. Questi attacchi, infatti, necessitano di coordinamento e competenza elevati.
L’attacco in questione opera a livello di Core (Centralized Online Real-time Exchange) banking system denominato anche CBS. Le funzioni del CBS comprendono la gestione dei conti, le transazioni, prestiti, mutui, pagamenti, prelievi. Le banche ovviamente rendono questi servizi disponibili attraverso diversi canali tra cui gli stessi ATM o Bancomat.
Il Sistema Core permette di creare uno scambio centralizzato online in tempo reale. Per intenderci, tutte le filiali di una banca e i relativi ATM possono accedere direttamente all’applicazione centrale gestita dai data center centralizzati.
L’attacco Swift ATM utilizza questa architettura a proprio vantaggio. Il vettore iniziale di attacco è stato molto probabilmente una campagna di phishing con malware mirato o l’utilizzo di una vulnerabilità di un servizio di terze parti esposto non correttamente su internet.
Tramite questo appiglio, è stato possibile compromettere la rete interna della Banca e l’infrastruttura ATM. In questo modo i Criminal Hacker sono entrati.
A questo punto i Criminal Hacker hanno installato un proxy switch malevolo. Questa operazione quasi sicuramente è stata condotta operando direttamente sull’ATM payment switch legittimo e in produzione (mi aspetto però un sistema di security monitoring attivo da parte della banca). In alternativa, sostituendolo direttamente con uno predisposto, più probabile, chiedendo direttamente al produttore del software con attività di social engineering.
A questo punto hanno interrotto la connessione al back-end / Core Banking System (CBS) sostituendo il proprio sistema con quello della banca.
In questo modo i dati inviati dal payment switch (malevolo) per l’autorizzazione delle transazioni non venivano inviati al sistema di back-end. Con questa tecnica sono di fatto stati annullati tutti i controlli relativi al numero di carta, PIN,… e altro non sono mai stati eseguiti.
I numeri sono impressionanti: questo sistema ha autorizzato prelievi bancomat per circa 11,5 milioni di dollari autorizzando oltre 2.800 transazioni fraudolente e oltre 12.000 transazioni internazionali attraverso 450 carte di credito clonate.
Le transazioni internazionali sono state possibili poiché alle richieste di TRQ (Transaction Request) delle carte clonate, i Criminal Hacker rispondevano autorizzandole attraverso i messaggi di Transaction Reply (TRE). Con questo approccio, il sistema rispondeva ai requisiti ISO 8583 richiesti (standard internazionale per le transazioni elettroniche). Piccolo problema, le richieste TRQ non venivano però inoltrate al CBS.
ATM SKIMMER
E’ la tecnica tradizionale. Non è un caso che sia la più usata dai criminali. Lo skimmer bancomat è di fatto un piccolo strumento che viene nascosto all’interno dello slot in cui viene inserita la carta. Il suo scopo è quello di raccogliere i dati della banda magnetica. Questi dati contengono ogni informazioni riguardo i conti legati al bancomat: ciò significa che il criminale non deve fare alcuno sforzo. È sufficiente inserire uno skimmer nel bancomat, e otterrebbe i dati di pagamento, pin incluso, di chiunque usi quella macchina.
Lo skimmer di vecchia generazione veniva inserito solitamente proprio sopra lo slot del bancomat, insomma va a sostituire l’entrata. Lo skimmer moderno è diventato meno percepibile: ciò significa che ora viene infilato direttamente nel bancomat, per essere invisibile alla vista: si trova all’interno della macchina e va proprio a coprire lo slot della carta, quindi a occhio nudo non è possibile individuarlo, o almeno non immediatamente.
L’imbroglio funziona in questo modo: l’utente ignaro inserisce la sua carta nello slot compromesso, lo skimmer legge i dati, ovvero nome e cognome dell’intestatario, numero della carta, data di scadenza e numero di sicurezza posto sul retro: insomma tutti i dati che normalmente vanno inseriti per effettuare un pagamento o riceverlo. Una piccola telecamera posta sopra il bancomat, piccola quanto la webcam interna al computer, per capirci, spia l’utente mentre inserisce il pin. Con queste informazioni può produrre una carta simile, e prelevare dal conto dell’utente. Semplice, veloce e indolore…
Bitcoin ATM Malware
Sono circa 3.500 gli ATM Bitcoin nel mondo. Sono di fatto Bancomat per Bitcoin. Funzionano esattamente come i bancomat tradizionali, ma con una sola, fondamentale differenza: invece che collegarsi a un conto bancario, si collega alla piattaforma di scambio di criptovaluta. Gli attacchi ai Bitcoin ATM usano come vettore di attacco dei malware.
Un bancomat tradizionale richiede un pin, un ATM Bitcoin invece richiede il numero di cellulare e carta d’identità per verificare che l’utente sia chi dice di essere. Se questi dati venissero rubati? Il cyber-criminale potrebbe facilmente spacciarsi per l’utente. Con il malware ATM Bitcoin, però, è ancora più semplice.
Questo perché i wallet non sono standard, ma spesso vengono scaricati direttamente da un App Store: in questo caso all’hacker basta creare una App già infettata dal malware per ottenere tutte le informazioni necessarie per il furto di bitcoin. Insomma, è praticamente un gioco da ragazzi: anche se non si è esperti, ci sono venditori, come quello individuato dai ricercatori di Trend Micro, che offrono tutte le indicazioni necessarie, una sorta di tutorial che segue l’aspirante hacker passo dopo passo.
Il prezzo base per un malware ATM Bitcoin parte dai 25mila dollari. Il fatto che nel forum siano state rilasciate un centinaio di recensioni per il venditore prova che il numero di malware venduti è già piuttosto alto.
ATM Cyber Security Trend
A marzo 2018 l’European Association for Secure Transactions (EAST) ha pubblicato il suo primo report europeo relativo alle frodi per il 2018. Ben 15 paesi hanno segnalato casi ed eventi di frode nei pagamenti e 7 paesi hanno indicato un sostanziale aumento delle casistiche. Il vettore di attacco maggiormente utilizzato risulta essere il phishing e con malware mirati e specifici.
La stessa EAST, nei primi mesi del 2018, ha rilasciato diversi warning relativi a campagne di phishing attive indirizzate ai dipendenti degli istituti bancari e finanziari. I malware in questione erano mirati a colpire/infettare la rete interna e ad ottenere l’accesso ai servizi Swift.
Il report di EAST rileva un aumento delle seguenti metodologie:
- Attacco Malware per ATM;
- Attacco tramite Sicurezza Logica;
- Attacchi di Jackpotting (attacco mirato agli ATM stand alone).
Rimane invariato il trend relativo al rischio di ATM Skimmer.
ATM Cyber RISK: I Malware
E’ evidente che per il mondo ATM, i malware rappresentino il nuovo vettore di attacco.
Gli attacchi ai bancomat tramite malware sono iniziati intorno al 2009. Da allora, sempre più gruppi criminali si sono cimentati in questi tipi di attacco. Da allora le tecniche si sono evolute, i malware sono diventati più specifici fino ad una accelerazione che è avvenuta nel 2015. Il mondo del Cyber Crime aveva (e ha) compreso che gli ATM possono essere attaccati non solo “fisicamente” ma anche attraverso la rete.
Gli attacchi malware hanno un vantaggio non banale rispetto ai classici attacchi fisici. Non solo garantiscono meno rischi ma una volta infettata e preso il possesso della rete bancaria, possono andare avanti a “prelevare” indisturbati fino a quando il relativo sistema di sicurezza bancario non rileva l’anomalia.
La diffusione di questo nuovo trend è dimostrato dal fatto che nello stesso Dark Web sono disponibili malware specifici ready made. I prezzi di riferimento partono dai 15.000 dollari.
L’evidenza dimostra come considerare le reti ATM sicure ed impenetrabili, in realtà, è un grande errore.
Sarà possibile garantire la sicurezza degli ATM al 100%? Assolutamente no.
Questo non toglie che il primo step rimane la necessità di pianificare attività e metodologie di Security Prevention continue e costanti attraverso:
– Vulnerability Assessment;
– Penetration Test;
– Code Review.
Gli istituti Finanziari, i produttori e le società di Cybersecurity sono ovviamente attivi e proattivi nel definire e ricercare nuove metodologie, approcci e strumenti che possano e riescano a garantire la tutela e la sicurezza dei propri sistemi.
© RIPRODUZIONE RISERVATA
