Se sapete cosa siano gli skimmer (e in caso contrario, dovreste prima leggere questo post), probabilmente sapete anche come tenere al sicuro la vostra carta di credito. Dovete prestare attenzione a qualsiasi oggetto sospetto presente a uno sportello ed evitare di utilizzarlo se non vi convince. Ma che fare se non c’è nulla, se lo skimmer è completamente invisibile?
È davvero possibile?
Sono desolato, la risposta è sì. Infatti, è questo il caso del gruppo cybercriminale ATM Infector, scoperto dal nostro GReAT (Global Research and Analysis Team) insieme al nostro Penetration Testing Team. I membri di questa cybergang di lingua russa sono in grado di trasformare un bancomat in uno skimmer.
Doppio jackpot
Pare che anche ai cybercriminali piaccia il concetto di sharing economy: perché collegare ulteriori dispositivi skimmer allo sportello, se tutto l’hardware necessario è già lì? Non devono far altro che infettare uno sportello con lo speciale malware chiamato Skimer e poi usare lo stesso lettore di schede e la Pin pad per rubare tutte le credenziali bancarie necessarie.
Keep your credit card #secure from skimming- learn the hidden dangers of an ATM: http://t.co/YKvTbzXm4R
— Kaspersky (@kaspersky) May 24, 2013
E quando si tratta di condividere, non finisce qui: se hanno infettato uno sportello, possono andare oltre e controllare non solo la Pin pad e i dispositivi di lettura della carta, ma anche il distributore di denaro. Quindi, non solo possono sottrarre le credenziali delle carte, ma anche inviare un comando per sputare tutto il denaro all’interno dello sportello.
I criminali dietro questa campagna cyber nascondono le loro tracce con molta attenzione. Infatti, è a questo scopo che usano doppie tattiche. Sebbene potrebbero certamente prelevare in qualsiasi momento, ordinando a tutti gli sportelli che hanno infettato di espellere denaro, ciò desterebbe senz’altro dei sospetti e probabilmente condurrebbe a vaste indagini. Ecco perché preferiscono tenere celato il malware nei bancomat e raccolgono in silenzio i dati delle carte vittime di skimming, rinviando a dopo la seconda opzione, ossia il prelievo istantaneo.
Come operano i delinquenti dietro ATM Infector
Come vi abbiamo detto in un post recente, nonostante la protezione degli sportelli bancomat appaia davvero notevole dal punto di vista fisico, molte di queste macchine blindate sono più vulnerabili nel cyberspazio. In questo caso specifico, i criminali infettano gli sportelli o attraverso l’accesso fisico o tramite la rete interna della banca.
Dopo essersi autoinstallato nel sistema, il malware Skimer infetta l’ultracomputerizzato nucleo di uno sportello, fornendo ai criminali il pieno controllo degli stessi e trasformandoli in skimmer. Dopodiché, il malware si nasconde finché i criminali non decidono di utilizzare lo sportello infetto.
7 reasons why it’s oh so easy for bad guys to hack an #ATM https://t.co/7H7znX1REt #security pic.twitter.com/SPNqm7vXJk
— Kaspersky (@kaspersky) February 17, 2016
Per destare il malware in uno sportello, il criminale inserisce una carta creata appositamente con certi documenti sulla sua banda magnetica. Dopo averli letti, il malware Skimer può eseguire il comando codificato o rispondere ai comandi tramite uno speciale menu attivato dalla carta.
Se il criminale espelle la carta e in meno di 60 secondi inserisce la chiave di sessione corretta usando la Pin pad, appare sul display l’interfaccia grafica di Skimer. Con l’aiuto di questo menu, il criminale è in grado di attivare 21 comandi differenti, inclusi:
- Erogazione del denaro (40 banconote dalla cassetta indicata);
- Raccolta di informazioni sulle carte inserite;
- Autocancellazione;
- Aggiornamento (dal codice malware aggiornato integrato sul chip della carta);
- Memorizzazione del file con i dati delle carte e dei PIN sul chip della stessa carta;
- Stampa delle informazioni raccolte sulla carta in merito alle ricevute del bancomat.
Come proteggersi
Nel loro post su Securelist, i nostri esperti forniscono raccomandazioni alle banche sui file che dovrebbero cercare nei loro sistemi. Il resoconto completo sulla campagna ATM Infector è stato precedentemente condiviso con un pubblico ristretto composto da forze dell’ordine, CERT, istituzioni finanziarie e clienti di Kaspersky Lab.
Alla gente comune come io e voi, ATM Infector fa davvero paura: non c’è modo di stabilire se uno sportello bancomat sia infetto o meno senza esaminare il suo interno, poiché in superficie appare e opera in maniera completamente normale.
In genere le banche considerano l’inserimento del PIN una prova che la transazione è stata eseguita dal proprietario della carta o che lo stesso proprietario sia responsabile per il PIN compromesso. Sarebbe difficile mettere in discussione la decisione della banca ed è molto probabile che non vi restituiranno mai il vostro denaro.
Criminal business on #ATMs, part 2: https://t.co/qCWhTm2ALD pic.twitter.com/46zP035BBE
— Kaspersky (@kaspersky) January 30, 2015
In sostanza, non potete rendere la vostra carta sicura al 100% da un ATM Infector, ma un paio di dritte vi aiuteranno almeno a conservare la maggior parte del vostro denaro.
- Sebbene non possiate identificare gli sportelli infetti, potete minimizzare i rischi usando quelli collocati in postazioni meno sospette. L’opzione migliore è utilizzare gli sportelli negli uffici bancari: per i delinquenti è più difficile infettarli e probabilmente vengono controllati più di frequente dal personale tecnico della banca.
- Controllate costantemente tutti gli addebiti su carta. Il modo migliore per farlo è utilizzare le notifiche SMS: se la vostra banca offre un servizio del genere, usarlo è un obbligo.
- Se notate una transazione che non avete mai effettuato, chiamate immediatamente la vostra banca e bloccate la carta compromessa. Dico sul serio, fatelo IMMEDIATAMENTE. Prima agite, più alta è la probabilità di salvare almeno una buona parte del vostro denaro.