Di cosa abbiamo bisogno per prelevare da un bancomat? Innanzitutto di una carta di credito o di debito, la chiave di accesso al nostro conto bancario. Poi dobbiamo inserire il codice PIN della carta, senza il quale la banca non approva la transazione. Infine, è necessario disporre di denaro sul conto. Nel caso di alcuni hacker le cose vanno un po’ diversamente: niente carte di credito, né di codici PIN o denaro sul conto. In realtà hanno solo bisogno di un bancomat dal quale prelevare e un software speciale.
All’inizio di quest’anno, su richiesta di un istituto bancario, i nostri colleghi del Global Research and Analysis Team (GreAT) hanno portato avanti uno studio forense riguardante un attacco informatico che aveva come obiettivo vari bancomat sparsi nell’Europa dell’Est. Le scoperte che hanno fatto sono state davvero interessanti. Immaginiamo la scena: una persona si avvicina a un bancomat, digita un codice sullo schermo e quasi all’istante ottiene 40 banconote, poi altro denaro un’altra volta e un’altra ancora. Come è possibile? I nostri esperti ritengono che sia colpa del Trojan Tyupkin che infetta il sistema operativo del bancomat e lo costringe a elargire banconote se inserito un codice speciale.
Alcuni hacker sono riusciti a prelevare denaro da decine di bancomat.
Tweet
Come dimostra lo studio, i cybercriminali sono riusciti in qualche modo ad accedere fisicamente al bancomat per potervi installare il malware attraverso un CD avviabile sul computer Windows dello sportello. Il Trojan ha delle caratteristiche interessanti. Innanzitutto, dal momento che si attiva su un bancomat, è in grado di disabilitare il software antivirus McAfee Solidcare per svolgere il suo compito indisturbato.
In secondo luogo, per evitare di essere individuato anche solo per sbaglio, il Trojan può rimanere in stand-by durante la settimana e attivarsi solo il fine settimana. Infine, in caso di emergenza, riesce a disabilitare la rete locale; in questo modo, l’ente bancario non può connettersi in remoto al bancomat colpito per capire cosa stia succedendo.
Grazie a queste caratteristiche, il cybercriminale non deve fare altro che recarsi al bancomat infetto, digitare un codice specifico per accedere al menu segreto che gli consente di prelevare denaro o di gestire il Trojan (ad esempio, nel caso decida di eliminarlo). Per prelevare, il cybercriminale non solo deve eseguire determinati comandi, ma deve anche saper utilizzare una formula speciale per calcolare una key session, una sorta di sistema di autenticazione a doppio fattore. Se entrambi i codici sono esatti, compare un secondo menu grazie al quale il cybercriminale può scegliere il numero dello sportello automatico e prelevare il denaro. A parte il piccolo “problema” che si possono prelevare solo 40 banconote per volta, si può ottenere una quantità qualsiasi di denaro, basta soltanto effettuare più volte l’operazione appena descritta.
In sostanza, in questo modo i cybercrimali riuscivano a rubare dai bancomat centinaia di migliaia di dollari senza che nessuno se ne accorgesse. Vicente Diaz, Principal Security Researcher del GreAt di Kaspersky Lab, ci ha informato che questo malware è in grado di colpire solo alcuni modelli di bancomat; in ogni caso, questo episodio rende evidente il fatto che nel futuro ci potranno essere altri tipi di attacchi rivolti ai bancomat. Perciò, gli istituti bancari e le case produttrici dei bancomat devono adottare delle misure aggiuntive per garantire la sicurezza di questi dispositivi sia fisicamente che in caso di uso di software specifici.