Ataques
baseados em redes bancárias trazem vantagens aos cibercriminosos e aumentam a
fragilidade de instituições bancárias
A Trend Micro - empresa
especializada na defesa de ameaças digitais e segurança na era da nuvem –
juntamente ao European Cybercrime Center (EC3) da Europol acabam de lançar um
relatório sobre o aumento na incidência de ataques remotos visando os caixas
eletrônicos (ou máquinas ATM). O relatório “Cashing in on ATM Malware” em tradução livre “Lucrando
com o Malware ATM" detalha dois diferentes tipos de ataque:
-
Ataques feitos em caixas eletrônicos por métodos físicos: neste caso,
cibercriminosos geralmente abrem a máquina com uma chave genérica ou à força;
-
Ataques às ATMs feitos via rede e que envolvem primeiramente o hackeamento de
contas bancárias corporativas.
O estudo destaca a evolução dos
ataques que antes exigiam acesso físico para infectar as máquinas e, agora, são
executados utilizando redes bancárias para roubar dinheiro e dados de cartão de
crédito, independentemente da segmentação de rede. Além disso, ilustra também
como os cibercriminosos estudam as possibilidades antes de chegar ao ataque
real.
Típico ataque físico em
máquinas ATM
Esses ataques não só colocam em
risco as informações de identificação pessoal (PII) e grandes quantias de
dinheiro, mas também são uma falha de conformidade dos bancos em violação com
relação aos padrões PCI.
Obter
dinheiro não é o único objetivo dos “cybercrooks” nos ataques aos caixas
eletrônicos. Esses criminosos também podem comprometer os dados dos clientes em
um processo conhecido como skimming, em que são roubados
os dados de cartões para obtenção de informações roubadas.
A
propagação de ataques por meio da rede, expõe bem menos os cibercriminosos. No
entanto, o ataque virtual às ATMs exige um preparo técnico bem maior: o ponto
mais sensível é acessar a rede ATM tendo a rede do banco como ponto de partida.
Uma rede
planejada da forma correta deveria contar com a rede ATM separada da rede
principal do banco. Dessa forma, ter acesso a uma rede, não significaria ganhar
acesso à outra. Para acessar as duas redes simultaneamente, o ideal seria que a
empresa adotasse protocolos de segurança básicos como autenticação em duas
etapas e firewalls.
No entanto,
segundo a Trend Micro, mesmo as instituições financeiras que contavam com as
duas redes separadas, reportaram incidentes e demonstraram como os
cibercriminosos estabeleceram um ponto de apoio sólido na rede principal de um
banco, instalando com sucesso o malware em caixas eletrônicos.
Baseado
nas observações da Trend Micro sobre diferentes ataques a redes bancárias
invadidas por cibercriminosos, os procedimentos são tão simples quanto enviar
e-mails phishing aos funcionários de um banco. Uma vez infiltrado, o cibercriminosos
realiza movimentos laterais para acesso das sub-redes, incluindo as máquinas
ATM’s.
O
Ripper é um dos mais conhecidos malware de ATM que usaram a rede como vetor de
infecção. Direcionado a três dos principais fabricantes de caixas eletrônicos,
milhares de máquinas ATM foram atacadas na Tailândia.
Este
malware conta com capacidades de jackpotting, permitindo que sejam distribuídos
dinheiro de caixas eletrônicos em grandes quantidades até o esvaziamento das
máquinas. Outra característica do Ripper é que ele pode se autodestruir,
removendo os vestígios de sua atividade no ambiente operacional e dificultando
a análise de pós-infecção forense.
Ciclo
de infecção do malware ATM
Todos
os ataques que envolveram malware ATM demonstraram que é possível ao
criminoso, instalar programas arbitrários para esvaziar os caixas eletrônicos o
máximo possível. Alguns exemplos destas atividades são: o já mencionado
“jackpotting” e o registro de todas as transações de cartões de clientes
(virtual skimming).
Conclusões
A
facilidade encontrada pelos cibercriminosos em não necessariamente ter que
instalar manualmente o malware em ATM’s por meio de USB ou CD, facilitou a
difusão deste tipo de crime.
Malware
ATM recentemente difundidos
Para
a maioria dos bancos, a segmentação da rede era o bastante para manter os
ataques ATM longe de seus sistemas. No entanto, esse não é mais o caso.
A
Trend Micro reforça a importância de que organizações financeiras avancem
alguns passos para garantir e desenvolver camadas mais seguras às suas
instalações ATM.
É
considerável também que fabricantes de máquinas ATM desenvolvam soluções que
cubram os gaps de segurança e estudem vulnerabilidades já exploradas. Isso não
significa que máquinas ATM estejam 100% seguras, mas com certeza, irá
dificultar que um sujeito malicioso explore ou vitimize um novo usuário.
Para
mais detalhes e acesso ao estudo completo clique aqui.
Trend Micro
Nenhum comentário:
Postar um comentário