Uno sbalorditivo 85% dei bancomat può essere violato e indotto a distribuire contanti gratis in soli 20 minuti, avverte un nuovo rapporto.

Gli esperti di sicurezza bancaria Positive Technologies hanno descritto in un rapporto di questa settimana una serie di tentativi riusciti di accedere al sistema operativo di un ATM.

Hanno preso di mira bancomat appartenenti a GRGBanking, NCR e Diebold Nixdorf e hanno trovato quattro principali categorie di vulnerabilità: sicurezza di rete insufficiente; sicurezza periferica insufficiente; configurazione impropria di sistemi o dispositivi; e vulnerabilità all’interno della configurazione del controllo delle applicazioni.

I ricercatori del team hanno scritto nel loro rapporto che a causa dell’insufficiente sicurezza di rete un criminale con accesso alla rete ATM può “prendere di mira i servizi di rete disponibili, intercettare e falsificare il traffico e attaccare le apparecchiature di rete”

“I criminali possono anche falsificare le risposte dal centro di elaborazione o ottenere il controllo dell’ATM”

Immagine: Positive Technologies Report

Vulnerabilità degli ATM

Hanno scoperto che il 58 per cento degli ATM testati erano a rischio di violazione della rete da parte di attori minacciosi attraverso pratiche di scarsa sicurezza informatica, come software non aggiornati e protezione firewall debole.

Attraverso le vulnerabilità CVE-2017-8464 e CVE-2018-1038 potevano abilitare l’esecuzione di codice arbitrario da remoto e successivamente l’escalation dei privilegi; questo ha portato alla capacità di “disabilitare i meccanismi di sicurezza e controllare l’uscita delle banconote dal distributore.”

Hit it Hard

Il tipo di attacco di gran lunga più riuscito è stato un hacking diretto del bancomat stesso, anche se questo ha richiesto un accesso fisico.

Se l’attaccante è in grado di manipolare il bancomat in modo da poter scollegare il cavo Ethernet e collegare un dispositivo, sono poi in grado di condurre attacchi al servizio di rete o attacchi man-in-the-middle.

Questo metodo ha funzionato l’85% del tempo sui bancomat testati con i ricercatori che hanno scoperto che: “A volte il modem si trova al di fuori dell’armadietto ATM, quindi un attaccante non avrebbe nemmeno bisogno di aprire l’ATM per eseguire le modifiche.”

Vedi anche: Magecart’s 7 Groups: Hackers Dropping Counter-Intelligence Code in JavaScript Skimmers

Il metodo più veloce è anche il più rumoroso, Positive Technologies ha effettuato attacchi Black Box che hanno richiesto solo 10 minuti per ottenere contanti dalla macchina.

Un attacco Black Box è fatto praticando un foro nel lato della cassa del bancomat per avere accesso ai cavi che collegano la cassa del bancomat al sistema operativo del bancomat. Uno strumento già pronto viene poi collegato al bancomat permettendo agli attori della minaccia di prelevare tutto il contante che vogliono.

In conclusione, i ricercatori notano che i cyberattacchi ai bancomat diminuiranno man mano che verranno attuati metodi preventivi come software aggiornati e buone pratiche.

Tuttavia, affermano che il primo passo che deve essere fatto è quello di: “Proteggere fisicamente l’armadietto ATM e i dintorni. Sfruttare la maggior parte delle vulnerabilità che abbiamo trovato sarebbe impossibile senza l’accesso al computer di bordo e alle porte periferiche”

.