Cybercriminali in grado di obbligare i bancomat a rubare soldi ai correntisti? Non solo esistono, ma si specializzano per diventare sempre più abili e, soprattutto, pericolosi. Secondo un'indagine di Kaspersky Lab, infatti, a tornare alla ribalta fra i malviventi della rete sarebbe Skimmer, scoperto nel 2009 e primo programma nocivo a prendere di mira i bancomat. Ora, dopo sette anni di silenzio, i cybercriminali hanno ricominciato a usare il malware, ma sia i truffatori sia il programma si sono evoluti, costituendo questa volta una minaccia ancora più avanzata per le banche e i loro clienti in tutto il mondo.
Ma come operano i gruppi criminali? Immaginate se una banca scoprisse di essere stata attaccata, senza però rilevare alcun ammanco di denaro e senza che il suo sistema sia stato modificato. E' proprio ipotizzando la ragione di un'attività criminale così insolita nel corso di alcune indagini, che il team di esperti è riuscito a svelare il piano criminale e scoperto le tracce di una versione migliorata del malware Skimmer su uno dei bancomat della banca, impiantato e lasciato inattivo in attesa di un comando da parte del gruppo.
Ottenuto l'accesso al sistema del bancomat tramite accesso fisico sia attraverso il network interno dell'istituto di credito, il gruppo Skimmer installa con successo Backdoor.Win32.Skimer nel sistema, infettando il cuore del bancomat, e cioè il file eseguibile responsabile delle interazioni della macchina con l'infrastruttura bancaria, del trattamento del contante e delle carte di credito.
E' così che i criminali ottengono il pieno controllo dei bancomat infettati, procedendo tuttavia con attenzione: invece che installare dispositivi skimmer (lettori di schede fraudolenti installati su quelli legittimi) per sottrarre i dati della carta, trasformano l'intero ATM in uno skimmer. Così, una volta infettato il bancomat, i criminali possono prelevare tutti i soldi presenti nel dispositivo o rubare i dati dalla carta utilizzata, inclusi il numero di conto bancario del cliente e il codice PIN.
L'aspetto più preoccupante è che non c'è modo per la gente comune di distinguere un bancomat infetto. Non c'è alcun segno fisico della compromissione, diversamente dai casi in cui viene usato un dispositivo skimmer, in cui un utente esperto può capire se sia stato sostituito il lettore di schede originale di una macchina.
Uno zombie dormiente - Se un prelievo diretto di denaro dalla macchina verrebbe immediatamente scoperto dopo il primo incasso, il malware all'interno del bancomat può studiare i dati delle carte in tutta sicurezza per molto tempo. Di conseguenza, il gruppo Skimmer non inizia immediatamente ad agire, ma fa molta attenzione a nascondere le proprie tracce: il loro malware potrebbe operare nel bancomat infetto per molti mesi senza intraprendere alcuna azione.
Per risvegliarlo, infatti, i criminali inseriscono una carta speciale contenente determinati codici sulla striscia magnetica. Dopo aver letto il codice, Skimmer può sia eseguire il comando codificato, sia richiedere comandi tramite uno speciale menu attivato dalla carta. L'interfaccia grafica di Skimmer appare sul display solo dopo che la carta è stata espulsa e solamente se il criminale inserisce la giusta chiave di sessione attraverso il pin pad in uno specifico modulo entro un minuto.
Con l’aiuto di questo menù, il criminale può attivare 21 diversi comandi, come l’erogazione di denaro (40 banconote dal cassetto specificato), la raccolta dei dettagli relativi alle carte inserite, l’autoeliminazione, l’aggiornamento (dal codice malware aggiornato inserito nel chip della carta) e così via. Inoltre, quando raccoglie i dati delle carte, Skimmer può salvare il file con i dump e i PIN sul chip della carta stessa o può stampare i dettagli delle carte raccolti sulle ricevute del bancomat.
Nella maggior parte dei casi, i criminali scelgono di aspettare e raccogliere i dati delle carte hackerate per crearne in seguito delle copie. Con queste ultime, vanno in un altro bancomat non infetto e ritirano con naturalezza del denaro dal conto del cliente. In questo modo, i criminali possono assicurarsi che i bancomat infettati non vengano scoperti in breve tempo. E il loro accesso al denaro è semplice e facile da gestire.
Un ladro esperto - Skimmer è stato ampiamente diffuso tra il 2010 e il 2013. La sua presenza ha comportato un aumento significativo del numero di attacchi ai bancomat, con fino a 9 diverse famiglie di malware identificate da Kaspersky Lab. Queste includono la famiglia Tyupkin, scoperta a marzo 2014, che è diventata la più celebre e diffusa. Tuttavia, sembra che ora Backdoor.Win32.Skimer sia nuovamente in azione. Kaspersky Lab identifica attualmente 49 varianti di questo malware, di cui 37 prendono di mira i bancomat di solo uno dei principali produttori. La versione più recente è stata scoperta all’inizio di maggio 2016.
Con l’aiuto dei campioni sottoposti a VirusTotal, è possibile notare una distribuzione geografica molto ampia dei possibili bancomat infetti. Gli ultimi 20 campioni della famiglia Skimmer sono stati caricati da più di 10 Paesi in tutto il mondo: Emirati Arabi Uniti, Francia, Stati Uniti, Russia, Macao, Cina, Filippine, Spagna, Germania, Georgia, Polonia, Brasile e Repubblica Ceca.
Contromisure tecniche - Per prevenire questa minaccia, Kaspersky Lab raccomanda di effettuare regolari scansioni anti-virus, oltre ad usare le tecnologie di whitelisting, una buona policy di gestione dei dispositivi e la criptazione completa del disco, proteggere il BIOS del bancomat tramite password, permettere solo l’avvio dell’hard disk e isolare la rete del bancomat da qualsiasi altra rete interna della banca.
"In questo caso specifico, è possibile applicare un’altra importante contromisura. Backdoor.Win32.Skimer controlla le informazioni (9 precisi numeri) codificate nella striscia magnetica della carta per riconoscere se deve attivarsi. Abbiamo scoperto i numeri dei codici usati dal malware e li condividiamo con le banche. Una volta in possesso di questi numeri, le banche possono cercarli proattivamente nei loro sistemi di elaborazione, rilevare i bancomat potenzialmente infetti e i money mule, oppure bloccare ogni tentativo da parte dei criminali di attivare il malware", ha commentato Sergey Golovanov, Principal security researcher della società.
