7 motivi per cui è facile compromettere uno sportello bancomat

Gli sportelli bancomat hanno sempre fatto gola ai criminali. In passato, venivano presi d’assalto con armi pesanti come la fiamma ossidrica o gli esplosivi. Con l’ascesa dell’Era Digitale, tutto è cambiato: oggi i delinquenti possono “fare jackpot” senza questi effetti speciali.

Al recente congresso SAS 2016, Olga Kochetova, penetration testing specialist di Kaspersky Lab, ha spiegato nel suo intervento dal titolo “Malware and non-malware ways for ATM jackpotting”, perché gli sportelli bancomat siano così vulnerabili.

1. Prima di tutto, i bancomat sono, in sostanza, dei computer. Seppur formati da un numero di sottosistemi elettronici che includono dei controller industriali esterni, il nucleo del sistema è sempre un PC convenzionale.

2. Inoltre, è molto probabile che questo PC sia controllato da un sistema operativo piuttosto obsoleto, Windows XP. Forse sapete quale sia il problema: non si appoggia più a Microsoft, quindi qualunque vulnerabilità riscontrata dopo la fine del supporto sarà un perpetuo “zero day” che nessuno correggerà E ci sono UN MARE di queste vulnerabilità, potete scommetterci.

#Microsoft is ending support for Windows XP. Learn what this means for your Kaspersky Lab products. http://t.co/j90rhV8wY3

— Kaspersky (@kaspersky) January 21, 2014

3. Tra l’altro, è pure molto probabile che il sistema dello sportello sia gestito da parecchi software con vulnerabilità. Si va da Flash Player antiquati con dentro oltre 9.000 bug ben noti a tool di amministrazione remoti e così via.
4. I costruttori tendono a credere che gli sportelli operino sempre in “condizioni normali” e che nulla possa andare storto. Di conseguenza, di solito non c’è traccia di controllo dell’integrità del software, né di antivirus, né di autenticazione di un’app che invia comandi alla cassa.

5. Rispetto al deposito di contanti e al distributore di denaro, che sono sempre blindati e messi al sicuro con molto scrupolo, la parte informatica di uno sportello è facilmente accessibile. Il suo involucro, in genere, è fatto di plastica o, nel migliore dei casi, di metallo leggero, e protetto da serrature troppo semplici per tenere i criminali alla larga. La logica dei produttori è: se in questa parte dello sportello non c’è denaro, perché preoccuparsi di tenerla al sicuro?

RT @GrzegorzBr: Dozens of banks lose millions to cybercriminals attacks #theSAS2016: https://t.co/9lOgLiRMd6 via @kaspersky

— Kaspersky (@kaspersky) February 8, 2016

6. I moduli degli sportelli sono interconnessi con interfacce standard, come porte COM o USB. A volte queste interfacce sono accessibili dall’esterno, e pure se non lo fossero, dovete tenere a mente un’altra questione precedente.

Infected USB drive idled power plant for 3 weeks http://t.co/3TwQFxNr

— Eugene Kaspersky (@e_kaspersky) January 18, 2013

7. Per loro natura, gli sportelli devono essere connessi, e lo sono sempre. E poiché oggi Internet è il mezzo di comunicazione più economico, le banche se ne servono per collegarli ai centri di elaborazione. E indovinate? Ebbene sì, potete trovare gli sportelli bancomat su Shodan!

#Shodan shows thousands of exposed ATMs potentially vulnerable to a network attack @_endless_quest_ #TheSAS2016 pic.twitter.com/9E3SSYwG89

— Eugene Kaspersky (@e_kaspersky) February 9, 2016

Considerando tutte le questioni sopramenzionate, ai criminali non mancano certo le opportunità. Per esempio, possono sviluppare un componente di malware, installarlo nel sistema dello sportello e incassare. Questi trojan creati specificatamente per i bancomat appaiono con regolarità. Per esempio, circa un anno fa ne abbiamo scoperto uno chiamato Tyupkin.

Un altro metodo è utilizzare un ulteriore hardware che può essere collegato alla porta USB dello sportello. Per la loro proof of concept, Olga Kochetova e Alexey Osipov hanno utilizzato un piccolo ed economico single-board computer Raspberry Pi fornito di adattatore Wi-Fi e batteria. Guardate il video per sapere cosa succede dopo.

L’attacco attraverso il World Wide Web può essere ancora più pericoloso. I delinquenti sono capaci di stabilire centri di elaborazione fittizi o di appropriarsene di uno vero. In questo caso, possono derubare molti sportelli senza neanche accedere fisicamente al loro hardware, che è esattamente cosa sono riusciti a realizzare gli “hacker da un miliardo di dollari” del gruppo Carbanak: hanno acquisito il controllo dei PC sensibili nelle reti di determinate banche e dopodiché sono stati in grado di inviare comandi direttamente allo sportello del bancomat.

Full report on the #Carbanak APT is now live http://t.co/KRmjD1GhyL via @Securelist pic.twitter.com/5OMzJE0DgS

— Kaspersky (@kaspersky) February 16, 2015

Nel complesso, le banche e i costruttori dovrebbero preoccuparsi maggiormente della sicurezza degli sportelli automatici. Occorre riconsiderare le misure di sicurezza di software e hardware, creare un’infrastruttura di rete più sicura e così via. È altrettanto importante che reagiscano più velocemente alle minacce e collaborino intensamente con le forze dell’ordine e con le aziende del settore della sicurezza.