ATM e Bancomat sotto attacco

Le tecniche utilizzate dai criminali si stanno evolvendo a ritmi esponenziali. Le denunce di onesti cittadini che si vedono svuotare le proprie carte di credito sono in forte crescita. D’altra parte grazie alle nuove tecnologie e alle nuove tecniche, che si fanno sempre più semplici da realizzare e da reperire online, chi commette questo tipo di reati ha solo l’imbarazzo della scelta.

Vulnerabilità su ATM

Sono loro gli attori finali tra la banca e i vostri risparmi, gli ATM. Purtroppo in Italia, ma anche in diverse parti del mondo, esistono ancora ATM al cui interno gira un sistema operativo oramai obsoleto. Windows XP, di Microsoft, è un sistema operativo il cui supporto di sicurezza è scaduto già nel 2014 e non dovrebbe essere più utilizzato. E’ intuitivo che mantenere attivi dei bancomat con sistemi operativi oramai non più coperti da supporto è una grave mancanza di sicurezza che potrebbe dare la possibilità ai criminali di sfruttare le vulnerabilità unpatched e di accedere al bancomat per scopi illeciti.

Ma c’è dell’altro. Un’altra vulnerabilità molto grave è l’esposizione degli ATM su internet, peggiorata molto spesso dall’abilitazione di servizi non necessari al loro funzionamento come per esempio Ftp,webserver, vnc, etc…  In alcuni casi si è sentito parlare di “remote support services”, servizio remoto di assistenza tecnica, un servizio offerto dalle aziende costruttrici degli ATM e che consiste nell’accedere al bancomat in desktop remoto per offrire supporto tecnico in caso di necessità. Viene da se che un servizio del genere esposto su un bancomat non sia proprio il massimo, soprattutto se non protetto a dovere.
Senza contare che circa il 95% degli ATM è connesso a internet con almeno una connessione analogica (Dial up). E grazie ad una vecchia tecnica degli anni 90 chiamata War Dialing e usando un software VOIP come WarVox, è possibile individuare gli ATM connessi alla rete.

L’attenzione che i criminali hanno per i bancomat non è cosa recente: che siano sotto attacco da sempre ce lo dimostra anche Barnaby Jack nel 2010 hackerando due ATM al BlackHat (conferenza dove si riuniscono appassionati di sicurezza informatica) davanti a centinaia di persone.

ATM Malware

Tyupkin è questo il nome di uno dei più famosi malware in circolazione che prende di mira gli ATM. Tyupkin è in grado di prendere il totale controllo del bancomat e creare una backdoor accessibile direttamente dal pinpad per permettere ai criminali di fare il incassar contanti ogni volta che vuole.

L’installazione di questo malware avviene grazie alla combinazione di diversi fattori. Per poter accedere al computer interno è necessario aprire uno sportello di sicurezza. Molte case costruttrici utilizzano chiavi abbastanza semplici da replicare e di facile reperimento sul mercato cinese. Il computer interno è provvisto di cdrom ed è proprio questo il punto di ingresso per far partire l’infezione con Tyupkin. Inserito il cdrom infetto, l’autorun abilitato di default fa eseguire il codice malevolo e con pochi passi si riesce a installare il malware.

Di seguito il video sul funzionamento di Tyupkin.

Skimming

Tecnica molto diffusa che permette di carpire i dati di qualsiasi carta inserita in un ATM. Grazie a telecamere e keylogger o dispositivi a connessione wireless, i criminali installano fisicamente sul bancomat una finta tastiera molto simile all’originale e un lettore di banda magnetica.

I criminali più evoluti utilizzano tecniche di connessioni wireless che gli permettono di avere i dati in tempo reale senza rischiare di essere beccati mentre rimuovono i dispositivi installati.

Alcuni piccoli consigli in certi casi possono salvare la vostra carta di credito e sono da tenere sempre a mente quando si effettua un prelievo.

• Provare a muovere il lettore di banda magnetica e vedere se viene via.
• Controllare la tastiera del pinpad se è troppo nuova o se sembra in rilievo.
• Coprire sempre con la mano mentre si digita il pin.

Wiretapping

Non tutti gli attacchi prevedono l’utilizzo di skimmer. Oggi esiste un nuovo metodo che permette l’intercettazione dei dati del bancomat mentre comunica con la vostra banca. L’attacco prevede l’installazione di una piccola scatola con dentro un minicomputer che viene collegato tramite cavo ethernet tra il bancomat e la presa di rete nel muro. Per il controllo a distanza viene installato un dispositivo bluethoot che permette l’accesso ai dati in tempo reale o per scaricare le informazioni catturate.

E’ chiaro che uno scenario così variegato di possibili fonti di attacco mette le banche nella condizione di dover garantire alti livelli di sicurezza anche nell’erogazione dei servizi attraverso ATM. Una corretta postura di sicurezza non potrà prescindere dal considerare anche i bancomat come possibili luoghi di rischio per cui pianificare e realizzare soluzioni ad hoc.

Immagine di copertina: Adrian Grycuk – Own work, CC BY-SA 3.0 pl.