L'allarme lanciato lo scorso venerdì dall'FBI è di quelli gravissimi: secondo un report finito nella mani degli investigatori, i criminali informatici starebbero preparando un attacco di tipo ATM cash out a livello globale. Si tratta di una tecnica che, sfruttando la falla di un non meglio identificato istituto che emette carte di credito consente al malintenzionato di turno di ottenere il livello di amministratore e la libertà di compiere operazioni illimitate. Potenzialmente si tratterebbe di un colpo da milioni di dollari, il più grande mai visto in questo settore.
Tutto ciò di cui necessitano gli hacker per condurre un attacco del genere sono i numeri di carte di credito o debito reperibili sul dark web e carte fantoccio a cui collegare quei numeri.
In pratica i cyber criminali non fanno altro che creare copie illegali di originali perfettamente legali, i cui numeri sono stati sottratti a insaputa dei clienti. Questi dati sono poi inviati a dei complici che li integrano nelle strisce magnetiche riutilizzabili presenti ad esempio nelle carte regalo normalmente acquistabili nei negozi e che saranno poi utilizzate per prelevare i fondi dai bancomat.
A detta di una società di sicurezza, KrebsOnSecurity, questo tipo di attacchi avviene solitamente nei week-end, dopo la chiusura delle attività da aprte delle istituzioni bancarie il sabato. Al momento però non ci sono altri dettagli e ovviamente non c'è una timeline precisa in cui attendersi questo attacco, che potrebbe verificarsi in qualsiasi momento, forse anche nel week-end del 18 e 19 agosto.
Per l'FBI le banche dovrebbero rivedere i propri standard di sicurezza, ad esempio:
- Implementando sistemi di autenticazione a due fattori con token fisici o digitali per gli amministratori locali o altri ruoli strategici ma anche per prelievi superiori a determinate soglie
- Adottare le whitelist - elenchi di entità a cui sono riconosciuti specifici privilegi - per bloccare la diffusione di malware
- Monitorare, controllare e limitare gli account amministratore con la possibilità di modificarne anche gli attributi
- Monitorare la presenza di protocolli di rete da remoto e strumenti di amministrazione come Powershell e TeamViewer
- Monitorare traffico cifrato (SSL o TLS) proveniente da porte non standard
- Monitorare il traffico di rete in regioni in cui non ci si aspetterebbero connessioni in uscita da parte di istituzioni finanziarie