Imagínese ganar la lotería y tener un cajero automático escupiendo grandes cantidades de dinero en efectivo. Eso es exactamente lo que persiguen algunos ciberdelincuentes. Están apuntando a los cajeros automáticos y lanzando ataques de «jackpot», forzándolos a pagar billetes como una máquina tragamonedas ganadora. Ya este año, el servicio secreto de EE. UU. Ha advertido a las instituciones financieras de tales ataques.

El investigador de seguridad Barnaby Jack demostró tal ataque y asombró a los asistentes a Black Hat cuando hizo que dos cajeros automáticos sin parchar escupieran dinero en el escenario. En su mayor parte, sin embargo, el jackpot fue poco más que un hipotético hasta hace poco.

Ahora, con cepas confirmadas de malware como Ploutus.D, que se utilizan en los ataques de jackpot ATM en territorio estadounidense, el jackpot se puede agregar a la creciente lista de tipos de ataques ATM populares, incluidos los ataques de desnatado, desvanecimiento y basados ​​en red. Aquí examinamos varias técnicas de ataque de ATM y ofrecemos recomendaciones de seguridad para protegerlas.

Jackpotting

Los atacantes usan dispositivos electrónicos externos, o software malicioso, para lanzar ataques con jackpot o «cash-out», que les permiten tomar el control del hardware del cajero automático. En algunos casos, los atacantes reemplazan todo el disco duro de un cajero automático y ejecutan software malicioso para escupir efectivo de los cajeros automáticos. Otros ataques implican ubicar el cable USB que conecta el dispensador de efectivo con la PC del cajero automático, cortarlo y conectar el lado del dispensador a un dispositivo atacante, lo que obliga al dispensador de efectivo a dispensar todo el dinero. Los atacantes también pueden descubrir un puerto USB en la PC ATM y conectarlo a una unidad USB que contiene malware, que luego toma el control del dispensador de efectivo.

Uno de estos ataques se realizó en Alemania en agosto de 2015 cuando los atacantes accedieron al cajero automático, desconectaron el cable de comunicaciones del dispensador de efectivo desde el núcleo de la computadora ATM y luego conectaron el cable a su propio dispositivo (el «Black Box»). Los comandos fueron enviados por el dispositivo electrónico externo directamente al dispensador, lo que resulta en una dispensación de efectivo no autorizada desde el cajero automático.

La mejor forma de minimizar el riesgo de ataques con jackpot es con el cifrado de extremo a extremo. Básicamente, cifrar las comunicaciones entre la PC ATM y el dispensador de efectivo; el disco duro; y comunicaciones entre la red financiera y el cajero automático. Esto, junto con el uso de buenos controles de seguridad de red y la metodología de punto final menos privilegiado reducirá drásticamente la superficie de ataque.

Skimming

Algunos atacantes toman la ruta anticuada y abren el cajero automático con explosivos, pero hay una forma más sofisticada y sofisticada de robo de tarjetas magnéticas que apuntan a los cajeros automáticos: desnatar.

El robo de ATM es un robo de identidad de dos componentes. Primero, los atacantes usan elementos electrónicos ocultos para robar información personal almacenada en la tarjeta de un usuario. A continuación, usan medios adicionales para registrar el PIN de un usuario.

La primera parte involucra al skimmer mismo. El skimmer es un lector de tarjetas que se integra perfectamente en la ranura para tarjetas del cajero automático. Cuando un usuario inserta su tarjeta en la máquina, inconscientemente la inserta a través del lector de tarjetas del atacante, que escanea y almacena la información en la banda magnética y la envía de vuelta al atacante.

Los atacantes necesitan el PIN del usuario para hacer uso de la tarjeta robada. Usan cámaras espías y superposiciones de teclado para registrar el PIN de la víctima, dándoles todo lo que necesitan para replicar y usar la tarjeta de la víctima.

El robo de tarjetas sigue siendo, por lejos, la forma más frecuente de ataque ATM y su frecuencia sigue siendo alta incluso en mercados donde EMV (Europay, Mastercard y Visa) se han desplegado por completo y se utilizan tarjetas con chip. Eso es porque la vulnerabilidad reside en la banda magnética de la tarjeta. Siempre que la banda magnética permanezca en la tarjeta y la tarjeta pase a través de un dispositivo que lea los datos de la tira, existe el riesgo de rozamiento de la tarjeta.

El robo de tarjetas se puede evitar de manera efectiva a través del despliegue de soluciones integrales de antidesnacimiento y monitoreo. Por ejemplo, los fabricantes de cajeros automáticos están utilizando capacidades de interferencia para deshabilitar eficazmente la capacidad de los skimmers para capturar la información de la tarjeta con un sofisticado sistema de monitoreo, permitiendo a los operadores de ATM recibir alertas y notificaciones con la capacidad del operador de sacar el cajero automático inmediatamente fuera de servicio. cuando sospechan que el cajero automático está siendo atacado.

Shimming

A diferencia de los skimmers, un brillo, llamado así por su perfil delgado, cabe dentro de un lector de tarjetas ATM y puede ser instalado rápida y discretamente por un atacante que lo desliza dentro de la máquina mientras simula hacer un retiro.

Los reflectores están hechos de una placa de circuito impreso delgada y flexible y un chip microprocesador. Una vez instalado, el microprocesador en el brillo está programado para funcionar como un chip en el medio, donde transmite los comandos ATM a la tarjeta con chip de la víctima y viceversa, mientras graba información de la tarjeta con chip. Esta información es luego extraída por el atacante y utilizada para clonar tarjetas magnéticas falsas. Sin embargo, no pueden usarse para fabricar una tarjeta basada en chips. Los reflectores son más difíciles de detectar que los espumadores porque están completamente insertados en el lector de ATM, lo que los hace prácticamente invisibles.

Aunque los ataques shimming llegaron para quedarse, solo tienen éxito si los bancos emisores no autorizan adecuadamente las transacciones con tarjeta. Mediante el uso de diferentes valores de verificación de tarjeta (CVV) para tarjetas con chip y tarjetas magnéticas y el control regular de los CVV durante las transacciones, los atacantes no podrán clonar tarjetas magnéticas utilizando esta técnica, lo que evitará esta categoría de fraude. Sin embargo, las tarjetas clonadas con Shimming se pueden usar en aquellas transacciones de Internet donde no se requiere CVV.

Ataques basados ​​en la red ATM

Los atacantes también están infectando cajeros automáticos con malware a través de las redes. Una vez que un atacante obtiene acceso a la red de un banco, puede instalar malware ATM desde una ubicación remota.

Otro ataque a la red ATM se dirige a los cajeros automáticos fuera de las instalaciones. Estos deben estar conectados a las redes bancarias. Sin embargo, muchos de estos cajeros automáticos fuera de las instalaciones usan comunicaciones no cifradas, lo que expone los detalles de la tarjeta (aunque no los PIN, que siempre se envían encriptados).

Los ataques basados ​​en la red en cajeros automáticos no son diferentes de los ataques a otros tipos de infraestructura, y deben protegerse utilizando los mismos medios, que incluyen:

Protección de credenciales : guarde las credenciales de acceso de forma segura, restrinja el acceso y gírelos automáticamente para reducir el uso no autorizado de cuentas con privilegios.

Asegurar sesiones : utilice el aislamiento de sesión para crear una separación entre los puntos finales del administrador y la infraestructura ATM, asegurando que el malware no se pueda propagar desde la red a los activos de destino.

Haga cumplir la protección de privilegios mínimos y punto final : reduzca la superficie de ataque al incluir listas negras / listas blancas en la infraestructura ATM.

Monitoreo continuo: monitoree de cerca las redes en función de eventos o patrones de eventos que se encuentren fuera de las líneas de base generadas para cada red. En el caso de que un atacante logre apropiarse de las credenciales y obtener acceso a los activos de destino, como los cajeros automáticos, las organizaciones deben ser capaces de detectar y tratar rápidamente el comportamiento malicioso.

La línea de fondo

Los ataques criminales a los cajeros automáticos no son nada nuevo. Sin embargo, lo nuevo es la forma en que se llevan a cabo.

Los atacantes están constantemente evolucionando sus métodos de ataque. Esto hace que sea particularmente desafiante para las instituciones financieras asegurar cajeros automáticos.

Con una comprensión básica de los métodos de ataque más populares, los bancos tendrán más éxito en la protección de los cajeros automáticos (ATM) y, en última instancia, de sus clientes, incluso cuando se introduzca un nuevo malware.

Fuente: Helpnetsecurity.com

Compartir