Bankomaty i banki na celowniku cyberprzestępców

W 2014 r. analitycy odnotowali kilka ataków na bankomaty oraz mobilizację organów ścigania na całym świecie, aby zareagować na ten kryzys. Ponieważ większość takich urządzeń działa pod kontrolą systemu Windows XP i charakteryzuje się słabymi zabezpieczeniami fizycznymi, z założenia są one niezwykle podatne na ataki. "W 2015 r. spodziewamy się dalszej ewolucji ataków na bankomaty przy użyciu ukierunkowanych szkodliwych technik w celu uzyskania dostępu do ‘mózgu’ tych urządzeń. Kolejnym etapem będzie skompromitowanie przez cyberprzestępców sieci banków oraz wykorzystanie tego poziomu dostępu do manipulowania bankomatami w czasie rzeczywistym" - powiedział Aleksander Gostiew, główny ekspert ds. bezpieczeństwa, Globalny Zespół ds. Badań i Analiz (GReAT), Kaspersky Lab.

Cyberprzestępcy działają w nocy - wyłącznie w niedziele i poniedziałki. Bez wkładania karty płatniczej wprowadzają kombinację cyfr na klawiaturze bankomatu, dzwonią w celu uzyskania dalszych instrukcji od operatora, wprowadzają kolejny zestaw liczb i bankomat zaczyna wydawać gotówkę. Następnie opuszczają miejsce, nie wzbudzając żadnych podejrzeń.

Działanie przestępców składa się z dwóch etapów. Na początku uzyskują dostęp fizyczny do bankomatu i umieszczają w nim rozruchową płytę CD w celu zainstalowania szkodliwego oprogramowania. Po powtórnym uruchomieniu systemu zainfekowany bankomat znajduje się pod kontrolą atakujących.

Po udanej infekcji szkodliwe oprogramowanie uruchamia nieskończoną pętlę, czekając na polecenie. Aby atak był trudniejszy do rozpoznania, szkodliwe oprogramowanie Tyupkin przechwytuje polecenia jedynie w określonym czasie - w niedzielę i poniedziałek w nocy. W tych godzinach przestępcy mogą ukraść pieniądze z zainfekowanej maszyny.

Nagrania uzyskane z kamer bezpieczeństwa w zainfekowanych bankomatach ukazywały metodę stosowaną w celu uzyskiwania dostępu do gotówki z maszyn. Dla każdej sesji generowany jest na nowo klucz złożony z unikatowej kombinacji cyfr (w oparciu o losowo wybrane liczby). Dzięki temu żadna osoba spoza gangu nie będzie mogła przypadkowo odnieść korzyści z oszustwa. Następnie, osoba stojąca przy bankomacie otrzymuje instrukcje przez telefon od innego członka gangu, który zna algorytm i potrafi wygenerować klucz sesji w oparciu o pokazany numer. Ma to zapobiec próbom samodzielnego pobierania gotówki przez osoby pośredniczące w infekowaniu bankomatów.

Jeśli klucz jest poprawnie wprowadzony, bankomat wyświetla informacje o tym, ile środków jest dostępnych w każdej kasetce z pieniędzmi, zachęcając operatora, aby wybrał, którą kasetkę chce okraść. Następnie, bankomat wydaje 40 banknotów za jednym razem z wybranej kasetki.

Podczas jednego z ostatnich badań odkryto atak, w którym komputer księgowego pewnej instytucji finansowej został zainfekowany i wykorzystany do wykonania przelewu na ogromną kwotę. Incydent ten odzwierciedla pojawienie się nowego trendu: ataków ukierunkowanych, których bezpośrednim celem są banki. Po przeniknięciu do sieci banku cyberprzestępcy znajdą tam wystarczająco dużo informacji, aby móc dokonać kradzieży pieniędzy bezpośrednio z banku na kilka sposobów:

-         zdalne przesłanie polecenia do bankomatów, by te wydały gotówkę,

-         wykonanie przelewów z kont różnych klientów,

-         manipulowanie systemami bankowości online, aby wykonywały przelewy w tle.

Eksperci z Globalnego Zespołu ds. Badań i Analiz spodziewają się, że przestępcy skwapliwie skorzystają z każdej okazji wykorzystania systemów płatniczych. Obawy te można również rozszerzyć na nową usługę Apple Pay, która wykorzystuje komunikację bliskiego zasięgu (NFC) do obsługi bezprzewodowych transakcji konsumenckich. Jest to dojrzały rynek dla badań bezpieczeństwa i specjaliści przewidują pojawienie się ostrzeżeń dotyczących luk w Apple Pay, wirtualnych portfelach i innych systemach płatności tego typu.

"Entuzjazm związany z nowa usługą Apple Pay z pewnością spowoduje napływ użytkowników, a tym samym przyciągnie wielu cyberprzestępców liczących na odniesienie własnych korzyści na tych transakcjach. Projekt firmy Apple charakteryzuje się większym naciskiem na bezpieczeństwo (np. zwirtualizowane dane transakcji), jednak dopiero czas pokaże, w jaki sposób przestępcy będą w stanie wykorzystać tę platformę do własnych celów" - dodał Aleksander Gostiew.  

-         Ataki na wirtualne systemy płatności, które mogą objąć nową usługę Apple Pay.

-         Bezpośrednie ataki na bankomaty.

-         Ataki ukierunkowane na banki.

-         Coraz więcej wycieków internetowych poprzez nieznane jeszcze luki w zabezpieczeniach.

-         Ataki na drukarki sieciowe oraz inne firmowe urządzenia podłączone do internetu, które mogą pozwolić zaawansowanym cyberprzestępcom uzyskać dostęp do sieci korporacyjnych.

-         Szkodliwe oprogramowanie dla systemu OS X będzie rozprzestrzeniane za pośrednictwem torrentów i nielegalnych pakietów oprogramowania.

-         Rozpad większych, głośniejszych aktorów na scenie cyberzagrożeń na mniejsze jednostki działające niezależnie od siebie. To z kolei spowoduje bardziej zróżnicowane ataki pochodzące z liczniejszych źródeł.

- Zbadać bezpieczeństwo fizyczne swoich bankomatów i rozważyć zainwestowanie w wysokiej jakości rozwiązania bezpieczeństwa,

- Wymienić wszystkie blokady oraz klucze uniwersalne w górnej pokrywie bankomatów i zrezygnować z ustawień domyślnych producenta,

- Zainstalować alarm i dopilnować, aby był sprawny. Cyberprzestępcy stojący za oprogramowaniem Tyupkin zainfekowali tylko bankomaty, na których nie zainstalowano alarmu bezpieczeństwa,

- Zmienić domyślne hasło BIOS-u bankomatów,

- Dopilnować, aby maszyny posiadały uaktualnioną ochronę antywirusową.