18/05/2016

Niewidoczne skimmery w bankomatach

Zagrożenia

Bez względu na to, czy wiesz, co to są skimmery bankomatowe, czy nie wiesz, najpierw przeczytaj ten post. Prawdopodobnie wiesz, jak zapewnić bezpieczeństwo swojej karty bankowej: musisz poszukać wszystkich podejrzanych dodatków w bankomacie i unikać używania tych maszyn, w których coś Cię niepokoi. Ale co w sytuacji, gdy nie widzisz nic podejrzanego, bo skimmer jest całkowicie niewidoczny?

atm-infector-fb

Czy to w ogóle możliwe?

Obawiam się, że tak. Grupa cyberprzestępcza ATM Infector została wykryta przez nasz Globalny Zespół ds. Badań i Analiz (GReAT) i grupą zajmującą się testami penetracyjnymi. Członkowie rosyjskojęzycznego cybergangu potrafią sprawić, że bankomat stanie się skimmerem.

Podwójny jackpot

Wygląda na to, że cyberprzestępcy też kochają pomysł ekonomii współdzielenia: po co dołączać do bankomatu dodatkowe urządzenia typu skimmer, jeśli posiada on już cały sprzęt wymagany do kopiowania danych? Aby ukraść wszystkie dane karty bankowej, trzeba jedynie zainfekować bankomat specjalnym programem o nazwie Skimer, a następnie użyć czytnika kart i klawiatury bankomatu.

Ale nie to miałem na myśli, wspominając o współdzieleniu: po zainfekowaniu bankomatu przestępcy mogą przejąć kontrolę nie tylko nad klawiaturą i czytnikiem kart, ale także nad podajnikiem pieniędzy. Zatem mogą zarówno ukraść dane karty, jak i wysłać polecenie wypłacenia wszystkich pieniędzy, jakie znajdują się wewnątrz maszyny.

Przestępcy stojący za tą cyberkampanią dokładnie ukrywają swoje działania, dlatego używają podwójnej taktyki. Teoretycznie mogliby wypłacić pieniądze w dowolnym momencie poprzez wysłanie polecenia do wszystkich zainfekowanych bankomatów, ale zdecydowanie wydałoby się to podejrzane i spowodowałoby wszczęcie śledztwa w tej sprawie. Dlatego hakerzy wolą, aby szkodliwy program pozostał niezauważony w bankomacie i po cichu gromadził zeskanowane dane karty, pozostawiając wypłatę pieniędzy na później.

Jak działają oszuści stojący za malware ATM Infector

Jak już wspomnieliśmy w poprzednim poście, chociaż fizyczne zabezpieczenia bankomatów robią wrażenie, wiele z tych opancerzonych maszyn posiada luki w obszarze oprogramowania. W tym konkretnym przypadku przestępcy infekowali bankomaty zarówno poprzez dostęp fizyczny, jak i od strony wewnętrznej sieci banku.

Po zainstalowaniu się w systemie szkodliwy program Skimer infekował sam mózg elektroniki, dając przestępcom pełną kontrolę nad zainfekowanymi bankomatami i przekształcając je w skimmery. Następnie malware nie ujawniał się do chwili, aż przestępcy zdecydowali się użyć zainfekowanego bankomatu.

Aby aktywować w bankomacie szkodliwy program, oszuści wkładają specjalnie przygotowaną kartę z określonymi wpisami zakodowanymi na jej pasku magnetycznym. Po odczytaniu tych wpisów program Skimer może wykonać zakodowane polecenie lub odpowiedzieć na polecenia przy użyciu specjalnego menu aktywowanego przez kartę.

Jeśli przestępca wysunie kartę i w ciągu 60 sekund wprowadzi przez klawiaturę prawidłowy klucz sesji, na ekranie pojawia się interfejs graficzny Skimera. Korzystając z menu, przestępca może aktywować 21 różnych poleceń obejmujących:

  • wypłatę pieniędzy (40 banknotów z określonej kasety),
  • gromadzenie szczegółów włożonej  karty,
  • autousuwanie,
  • aktualizacja (ze zaktualizowanego kodu szkodliwego programu osadzonego w czipie karty),
  • zapisywanie w postaci pliku danych zawiązanych z kartami i ich PIN-ami na czipie tej samej karty,
  • umieszczanie zgromadzonych szczegółów karty na wydrukach bankomatu.

Jak się chronić

W swoim poście w serwisie Securelist nasi eksperci wymienili zalecenia dla banków odnośnie tego, jakich plików powinny szukać w systemach swoich bankomatów. Pełny raport na temat kampanii ATM Infector został już udostępniony organom ścigania, pracownikom CERT, instytucjom finansowym i klientom usługi Kaspersky Security Intelligence Services.

Jeśli chodzi o zwykłych użytkowników, takich jak Ty czy ja, najbardziej przerażające jest to, że bez przeskanowania jego komputera nie można w żaden sposób określić, czy dany bankomat jest zainfekowany zagrożeniem ATM Infector, ponieważ z zewnątrz wygląda on i działa całkowicie normalnie.

Banki traktują zazwyczaj wprowadzenie kodu PIN jako dowód, że transakcja została przeprowadzona przez właściciela karty. Poza tym wg nich za odpowiednie zabezpieczenie PIN-u przed wyciekiem odpowiedzialny jest właściciel. Taką decyzję banku trudno byłoby podważyć i bardzo prawdopodobne, że pieniądze przepadają wtedy na zawsze.

Jak wiesz, nie możesz zabezpieczyć swojej karty na 100% przed zagrożeniem ATM Infector, ale możesz zastosować się do naszych kilku porad, dzięki którym w razie incydentu zachowasz przynajmniej większą część swoich pieniędzy.

  1. Pomimo tego, że rozpoznanie zainfekowanego bankomatu jest niemożliwe, istnieje sposób na zminimalizowanie ryzyka. W tym celu należy używać maszyn usytuowanych w mniej podejrzanych miejscach. Najlepiej jest korzystać z bankomatów znajdujących się w siedzibach banku — oszustom o wiele trudniej jest je zainfekować i być może są one częściej sprawdzane przez dział techniczny banku.
  2. Często sprawdzaj opłaty obciążające konto. Najlepiej jest wybrać powiadomienia SMS: gdy Twój bank posiada taką usługę, skorzystaj z niej.
  3. Jeśli zauważysz transakcję, której nigdy nie dokonywałeś — natychmiast zadzwoń do banku i zablokuj zhakowaną kartę. Pamiętaj, że w takim przypadku musisz działać NATYCHMIAST.Im szybciej zareagujesz, tym większa szansa, że zostaną Ci jakieś pieniądze.