Sicurezza

Bancomat infetti regalano soldi: l’allarme di Kaspersky

Non sono solo i computer e i server a essere a rischio, ma anche i bancomat. Gli esperti di Kaspersky Lab hanno condotto un'indagine forense in risposta ad attacchi informatici che hanno colpito numerosi bancomat in tutto il mondo. Nel corso dell'indagine, i ricercatori dell'azienda hanno scoperto un malware che infetta i bancomat permettendo agli aggressori di svuotare gli sportelli automatici tramite manipolazione diretta, rubando milioni di dollari. L'Interpol ha allertato i paesi membri colpiti ed è coinvolta nelle indagini in corso.

"I criminali lavorano di notte, solo di domenica e lunedì. Senza inserire nessuna carta di credito nel bancomat, digitano una combinazione numerica sulla tastiera dello sportello automatico, fanno una chiamata per ricevere ulteriori informazioni da un operatore, inseriscono un'altra serie di numeri e il bancomat inizia a regalare contanti", scrive Kaspersky.

Simpatico schema che spiega come avviene l'attacco – clicca per ingrandire

I criminali operano in due fasi. Per prima cosa, ottengono accesso fisico ai bancomat e inseriscono un CD avviabile per installare il malware – chiamato "Tyupkin" da Kaspersky Lab. Dopodiché riavviano il sistema ottenendo il controllo del bancomat infetto. Dopo l'infezione, il malware va in loop in attesa di un comando. Per rendere la truffa più difficile da individuare, il malware Tyupkin accetta comandi solo in un determinato momento durante le notti di domenica e lunedì. In queste ore i criminali sono in grado di rubare denaro dai dispositivi infetti.

I filmati ottenuti dalle telecamere di sicurezza presso i bancomat infettati mostrano la metodologia usata per ottenere i contanti dai dispositivi. Una nuova combinazione basata su una serie casuale di numeri viene generata a ogni sessione. Questo assicura che nessuno al di fuori della banda possa accidentalmente trarre vantaggio dalla frode. Quindi, il criminale riceve istruzioni al telefono da un altro membro della banda che conosce l'algoritmo ed è in grado di generare una session key in base al numero mostrato. 

Quando la chiave viene inserita correttamente, il bancomat indica i dettagli sulla quantità di denaro disponibile in ogni sportello automatico, invitando l'operatore a scegliere il bancomat da derubare. Quindi, il dispositivo eroga 40 banconote alla volta. In seguito alla richiesta da parte di un'istituzione finanziaria, il Global Research and Analysis Team di Kaspersky Lab ha condotto un'indagine forense su questo attacco cybercriminale. Il malware identificato da Kaspersky Lab, chiamato Backdoor.MSIL.Tyupkin, è stato finora individuato in bancomat situati in America Latina, Europa e Asia.

Cosa possono fare le banche per ridurre i rischi? Per prima cosa esaminare la sicurezza fisica dei bancomat e prendere in considerazione di investire in soluzioni di sicurezza di qualità. La seconda è sostituire tutte le serrature e i passepartout degli sporteli automatici forniti di default dal produttore. Le banche possono anche installare un allarme e assicurarsi che funzioni correttamente. I cyber criminali dietro a Tyupkin hanno infettato solo bancomat senza sistemi di sicurezza installati. E poi ci sono altre accortezze come cambiare la password BIOS di default e assicurarsi che i dispositivi abbiano una protezione antivirus aggiornata.