Le banche sono tra i bersagli preferiti degli hacker perché garantiscono guadagni notevoli. Bucarne le difese, però, non è facile e quindi solo le crew più temerarie riescono a fare il grande colpo.
Durante il Gdata Security Summit di Bochum, che si tiene in queste ore e festeggia il trentesimo anno di attività dell'azienda, alcuni ricercatori della società tedesca hanno mostrato come funziona un attacco ai bancomat che ha già fruttato diversi milioni di euro a una crew non ancora identificata.
L'attacco non è semplice da portare a termine, ma neanche complicato come potrebbe sembrare. Oltre a delle debolezze informatiche, infatti, sfrutta delle falle nella sicurezza delle posizioni dove vengono installate le macchine dispensatrici di banconote che sembrano difficili da credere.
Innanzitutto, bisogna specificare che questo attacco prevede l'installazione di un malware nella macchina che gestisce il bancomat e proprio questo particolare rende incredibile quanto poco siano protette dal punto di vista fisico.
La struttura dei bancomat è molto simile in tutto il mondo e ogni macchina dispensatrice ha in pratica due serrature principali: una apre il vano d'accesso al denaro, l'altra apre la parte superiore del dispositivo, dando accesso alla sezione informatica.
La chiave che apre la cassaforte sarebbe sicuramente quella più interessante da ottenere, ma è una chiave particolare, unica per ogni dispositivo e di difficile reperibilità e duplicazione.
La chiave superiore, invece, è una normalissima chiave da armadietti che si può comprare già pronta sul mercato nero e addirittura su fonti quali Alibaba. Se si fa una ricerca con "Atm Key" sul portale cinese, infatti, saltano fuori una serie di serrature complete di chiavi (o di sole chiavi, vergini o già intagliate) che permette a chi sa cosa comprare di saltare parecchi passaggi.
Una volta ottenuta la chiave, si ha accesso alla parte informatica del bancomat con grande facilità.
Inserendo un cd bootabile in uno dei lettori di CD/DVD, si può far caricare alla macchina qualsiasi sistema operativo e i pirati dispongono di un tool molto sofisticato, basato su Linux, che carica il sistema operativo e va alla ricerca sul disco locale dell'installazione di Windows che gestisce il bancomat.
A questo punto, il disco di installazione si occupa di copiare il malware sul disco fisso, modificare la chiave di registro necessaria a caricarlo in memoria ad ogni avvio e disabilitare l'eventuale protezione di whitelisting dei processi presente su molte di queste macchine.
In meno di un minuto e mezzo si conclude tutto il processo e il criminale può estrarre il disco, chiudere tutto e abbandonare l'area.
Ovviamente, tutte le operazioni sono registrate dalle telecamere che sorvegliano ogni zona bancomat, ma qui si scopre una cosa incredibile: nella maggior parte di casi, nessuno guarda quelle immagini. Le registrazioni bancomat, infatti, sono così tante da non essere gestibili per le banche senza un grande numero di addetti e quindi vengono tenute solo come strumenti di analisi a posteriori: se si rileva un problema su di un punto di distribuzione, si avvia un'indagine che va anche a consultare le registrazioni
Finché il problema non viene rilevato, però, le immagini riprese sono inutili.
Questo non succede in tutti gli istituti di credito, alcuni hanno dei sistemi automatici di gestione delle riprese che eventualmente segnala comportamenti strani, ma in moltissimi casi sì.
Così, passati un paio di giorni per esser sicuri che la modifica sia passata inosservata, un criminale arriva al bancomat e inserisce un codice speciale sul tastierino che, senza neanche usare una tessera, attiva una interfaccia di controllo dedicata che informa il criminale su quante banconote siano rimaste, sul loro taglio, e sulla quantità massima che è possibile ritirarne con una sola operazione.
A questo punto, alcune crew preferiscono svuotare subito completamente il bancomat (con la forte probabilità di essere scoperti, ma anche con la certezza di portarsi via fino a 200 mila euro in un colpo solo), altre preferiscono ritirare somme ingenti, ma senza strafare, per poter "mungere" la postazione ancora in futuro.
Questo tipo di attacco, che concentra le perdite sugli istituti bancari e non sui loro clienti, è stato rilevato per la prima volta in Spagna, ma nello scorso anno è apparso anche in Germania e Russia.
Non va confuso con quelli portati a termine nell'operazione CarbanaK, in cui l'emissione delle banconote veniva comandata da remoto tramite una intrusione nella centrale operativa della banca.