cerca CERCA
Giovedì 28 Marzo 2024
Aggiornato: 23:53
10 ultim'ora BREAKING NEWS

Comunicato stampa

I bancomat sono il nuovo skimmer: i cyber criminali portano i bancomat dalla loro parte

17 maggio 2016 | 17.05
LETTURA: 6 minuti

I bancomat sono il nuovo skimmer: i cyber criminali portano i bancomat dalla loro parte

Secondo un’indagine di Kaspersky Lab, i cyber criminali del gruppo Skimer, che codifica in lingua russa, obbligano i bancomat ad aiutarli a rubare denaro ai clienti. Scoperto nel 2009, Skimer è stato il primo programma nocivo a prendere di mira i bancomat. Sette anni dopo, i cyber criminali hanno ricominciato ad usare il malware, ma sia i truffatori, sia il programma si sono evoluti e questa volta costituiscono una minaccia ancora più avanzata per le banche e i loro clienti in tutto il mondo.

Immaginate questa situazione: una banca scopre di essere stata attaccata, ma, stranamente, non è stato rubato denaro e sembra che non sia stato modificato alcunché nel suo sistema. I criminali se ne sono semplicemente andati. Può essere vero?

Trovare una ragione per un’attività criminale così insolita è stata una sfida, ma durante un’indagine relativa a un incidente, il team di esperti di Kaspersky Lab ha svelato il piano criminale e scoperto le tracce di una versione migliorata del malware Skimer su uno dei bancomat della banca. Era stato impiantato e lasciato inattivo in attesa di un comando da parte dei cyber criminali: un modo brillante per nascondere le proprie tracce.

Il gruppo Skimer inizia le proprie operazioni ottenendo accesso al sistema del bancomat, sia tramite accesso fisico, sia attraverso il network interno della banca. Quindi, dopo aver installato con successo Backdoor.Win32.Skimer nel sistema, infetta il cuore del bancomat: il file eseguibile responsabile delle interazioni della macchina con l’infrastruttura bancaria, del trattamento del contante e delle carte di credito.

I criminali ottengono quindi il pieno controllo dei bancomat infettati, ma procedono con attenzione: invece che installare dispositivi skimmer (lettori di schede fraudolenti installati su quelli legittimi) per sottrarre i dati della carta, trasformano l’intero ATM in uno skimmer. Una volta che il bancomat è stato infettato con successo tramite Backdoor.Win32.Skimer, i criminali possono prelevare tutti i soldi presenti nel bancomat o rubare i dati dalla carta utilizzata: inclusi il numero di conto bancario del cliente e il codice PIN.

L’aspetto più preoccupante è che non c’è modo per la gente comune di distinguere un bancomat infetto. Non c’è alcun segno fisico della compromissione, diversamente dai casi in cui viene usato un dispositivo skimmer, in cui un utente esperto può capire se sia stato sostituito il lettore di schede originale di una macchina.

Uno zombie dormiente

Il prelievo diretto di denaro dalla macchina verrebbe immediatamente scoperto dopo il primo incasso, mentre il malware all’interno del bancomat può studiare i dati delle carte in tutta sicurezza per molto tempo. Di conseguenza, il gruppo Skimer non inizia immediatamente ad agire, ma fa molta attenzione a nascondere le proprie tracce: il loro malware potrebbe operare nel bancomat infetto per molti mesi senza intraprendere alcuna azione.

Per risvegliarlo, i criminali inseriscono una carta speciale, contenente determinati codici sulla striscia magnetica. Dopo aver letto il codice, Skimer può sia eseguire il comando codificato, sia richiedere comandi tramite uno speciale menu attivato dalla carta. L’interfaccia grafica di Skimer appare sul display solo dopo che la carta è stata espulsa e solamente se il criminale inserisce la giusta chiave di sessione attraverso il pin pad in uno specifico modulo entro un minuto.

Con l’aiuto di questo menù, il criminale può attivare 21 diversi comandi, come l’erogazione di denaro (40 banconote dal cassetto specificato), la raccolta dei dettagli relativi alle carte inserite, l’autoeliminazione, l’aggiornamento (dal codice malware aggiornato inserito nel chip della carta) e così via. Inoltre, quando raccoglie i dati delle carte, Skimer può salvare il file con i dump e i PIN sul chip della carta stessa o può stampare i dettagli delle carte raccolti sulle ricevute del bancomat.

Nella maggior parte dei casi, i criminali scelgono di aspettare e raccogliere i dati delle carte hackerate per crearne in seguito delle copie. Con queste ultime, vanno in un altro bancomat non infetto e ritirano con naturalezza del denaro dal conto del cliente. In questo modo, i criminali possono assicurarsi che i bancomat infettati non vengano scoperti in breve tempo. E il loro accesso al denaro è semplice e facile da gestire.

https://youtu.be/hOcFy02c7x0

Un ladro esperto

Skimer è stato ampiamente diffuso tra il 2010 e il 2013. La sua presenza ha comportato un aumento significativo del numero di attacchi ai bancomat, con fino a 9 diverse famiglie di malware identificate da Kaspersky Lab. Queste includono la famiglia Tyupkin, scoperta a marzo 2014, che è diventata la più celebre e diffusa. Tuttavia, sembra che ora Backdoor.Win32.Skimer sia nuovamente in azione. Kaspersky Lab identifica attualmente 49 varianti di questo malware, di cui 37 prendono di mira i bancomat di solo uno dei principali produttori. La versione più recente è stata scoperta all’inizio di maggio 2016.

Con l’aiuto dei campioni sottoposti a VirusTotal, è possibile notare una distribuzione geografica molto ampia dei possibili bancomat infetti. Gli ultimi 20 campioni della famiglia Skimer sono stati caricati da più di 10 Paesi in tutto il mondo: Emirati Arabi Uniti, Francia, Stati Uniti, Russia, Macao, Cina, Filippine, Spagna, Germania, Georgia, Polonia, Brasile e Repubblica Ceca.

Contromisure tecniche

Per prevenire questa minaccia, Kaspersky Lab raccomanda di effettuare regolari scansioni anti-virus, oltre ad usare le tecnologie di whitelisting, una buona policy di gestione dei dispositivi e la criptazione completa del disco, proteggere il BIOS del bancomat tramite password, permettere solo l’avvio dell’hard disk e isolare la rete del bancomat da qualsiasi altra rete interna della banca.

“In questo caso specifico, è possibile applicare un’altra importante contromisura. Backdoor.Win32.Skimer controlla le informazioni (9 precisi numeri) codificate nella striscia magnetica della carta per riconoscere se deve attivarsi. Abbiamo scoperto i numeri dei codici usati dal malware e li condividiamo con le banche. Una volta in possesso di questi numeri, le banche possono cercarli proattivamente nei loro sistemi di elaborazione, rilevare i bancomat potenzialmente infetti e i money mule, oppure bloccare ogni tentativo da parte dei criminali di attivare il malware”, ha commentato Sergey Golovanov, Principal Security Researcher di Kaspersky Lab.

I prodotti Kaspersky Lab rilevano questa minaccia come Backdoor.Win32.Skimer.

È possibile leggere il blog post su Skimer e un racconto dei problemi di sicurezza degli ATM moderni su Securelist.it

In quanto si tratta di un’indagine ancora in corso, il report completo è stato condiviso con un pubblico ristretto tra cui Forze dell’Ordine, CERT (Computer Emergency Response Team), istituzioni finanziarie e clienti dei servizi di intelligence sulle minacce di Kaspersky Lab. Per avere maggiori informazioni su questo report e ottenere un accesso esclusivo all’archivio di Kaspersky Lab di tutti gli Intelligence Report, è possibile contattare: intelreports@kaspersky.com.

Informazioni su Kaspersky Lab
Kaspersky Lab è un’azienda di sicurezza informatica a livello globale fondata nel 1997. La profonda intelligence sulle minacce e l’expertise di Kaspersky Lab si trasformano costantemente in soluzioni di sicurezza e servizi per la protezione di aziende, infrastrutture critiche, enti governativi e utenti privati di tutto il mondo. Il portfolio completo di sicurezza dell’azienda include la miglior protezione degli endpoint e numerosi servizi e soluzioni di sicurezza specializzati per combattere le sofisticate minacce digitali in continua evoluzione. Più di 400 milioni di utenti sono protetti dalle tecnologie di Kaspersky Lab e aiutiamo 270.000 clienti aziendali a proteggere ciò che è per loro più importante. Per ulteriori informazioni: www.kaspersky.com/it.

Sala Stampa di Kaspersky Lab: http://newsroom.kaspersky.eu/it/

Seguici su:

Twitter: https://twitter.com/KasperskyLabIT

Facebook: http://www.facebook.com/kasperskylabitalia

Google Plus: https://plus.google.com/+KasperskyItKL

LinkedIn: https://www.linkedin.com/kasperskylabitalia

Riproduzione riservata
© Copyright Adnkronos
Tag
Vedi anche


SEGUICI SUI SOCIAL



threads whatsapp linkedin twitter youtube facebook instagram
ora in
Prima pagina
articoli
in Evidenza