Oude geldautomaten die vatbaar zijn voor malwareaanvallen, ATM-oplichting neemt toe
In de zomer van 2010 gaf wijlen Barnaby Jack een presentatie op de Black Hat-beveiligingsconferentie waarin hij de ‘jackpotting’ van twee geldautomaten demonstreerde. Tijdens zijn presentatie was Jack in staat om beide machines geld te laten uitgeven door ze zowel fysiek als op afstand te exploiteren.
Bij de fysieke aanval gebruikte hij een flash-drive vooraf geladen met malware om beheerderstoegang tot de geldautomaat te krijgen, waardoor hij controle kreeg over het gelduitgiftemechanisme.
Nu, meer dan een jaar na de vroegtijdige dood van Jack, lijkt het erop dat de beveiligingsindustrie de hackers nog steeds niet heeft ingehaald die steeds meer in staat zijn om geldautomaten over de hele wereld te exploiteren zonder de noodzaak van kennis van experts of zelfs de nieuwste malware.
Naar aanleiding van meldingen van ATM-hacking in Maleisië, waarbij bendes ongeveer $ 1 miljoen hebben gestolen, heeft onderzoeksverslaggever Brian Krebs het probleem nader bekeken en ontdekt dat het probleem ligt bij het gebruik van oude infrastructuur.
Volgens Krebs is de recente piek in malware-aanvallen op geldautomaten te wijten aan de leeftijd van de machines in plaats van het gebruik van nieuwe hightech skimming-apparaten of een specifieke targeting van het inmiddels ter ziele Windows XP-besturingssysteem dat velen nog steeds gebruiken.
Owen Wild, global marketing director security compliance-oplossingen bij ATM-fabrikant NCR, wiens machines vingerafdrukken hadden in de Maleisische aanvallen, vertelde Krebs dat het probleem industriebreed is en zei: “Het komt voor bij ATMS van elke fabrikant, meerdere modellijnen en is niet iets endemisch voor NCR-geldautomaten. ”Wild gaf echter toe dat de Persona-serie van NCR-geldautomaten die in Maleisië werd aangevallen oud was, nadat deze zeven jaar geleden door een nieuwer model werd vervangen.
Wild onthulde dat ongeveer de helft van de NCR-installatiebasis nog steeds de oudere Personas gebruikt. Dit vormt een probleem voor elke operator die geen stapel geld op de tafel van Microsoft heeft gedumpt in ruil voor voortdurende beveiligingsupdates, omdat de naleving van PCI DSS (Payment Card Industry Data Security Standards) het gebruik van een besturingssysteem verplicht stelt dat volledig wordt ondersteund door voortdurende beveiligingsupdates.
Wild voegde er echter aan toe dat zelfstandige machines het grootste risico vormden (vanwege de doorgaans gemakkelijkere fysieke toegang voor CD-rom en USB-boots), terwijl het gebruik van Windows XP geen belangrijke factor was omdat besturingssystemen werden omzeild of gemanipuleerd met de software.
Wild ging verder met het beschrijven van twee soorten aanvallen. De eerste, zei hij, is ‘black box’ -aanvallen waarbij een elektronisch apparaat wordt gebruikt om de infrastructuur bij de verwerking van de geldautomaat te omzeilen en een ongeautoriseerde geldafgiftecode naar de geldautomaat te sturen..
Het tweede type aanval, waarvan Wild zegt dat het toeneemt, is de introductie van malware in oudere geldautomaten met minder beschermende mechanismen, die zijn ontworpen in een tijd waarin dergelijke bedreigingen en risico’s lang niet zo groot waren als nu..
Wild gaf commentaar op de beschikbaarheid van online ATM-handleidingen en zei: “U hoeft geen ATM-expert te zijn of kennis van zaken te hebben om malware voor geldautomaten te genereren of te coderen. Daarom is het inzetten van preventieve maatregelen zo belangrijk. ”
Wat betreft het beperken van aanvallen op geldautomaten, is ons advies om:
- Bekijk de fysieke beveiliging van de machine inclusief plaatsing, camerabewaking, het gebruik van niet-standaard sloten en de implementatie van ATM-beveiligingsalarmen
- De regelmatige controle van de machine om te controleren of er geen apparaten van derden aan zijn toegevoegd
- Trainingen voor beveiligingsbewustzijn voor personeel om ervoor te zorgen dat ze op zoek zijn naar sociaal gemanipuleerde nadelen van criminelen die zich kunnen voordoen als ingenieurs of inspecteurs
- Train personeel om te reageren op alarmen en verdachte activiteiten en deze te onderzoeken
- Beperking van de hoeveelheid contant geld binnen de geldautomaat tot het bedrag dat naar verwachting op een bepaalde dag zal worden uitgegeven