Por: Ed Cabrera, Director de Ciberseguridad de Trend Micro y Martin Bally, Vicepresidente y Director de Seguridad de Diebold Nixdorf
Donde hay dinero, siempre ha habido crimen. Los robos a bancos tradicionales y las agresiones físicas en los cajeros automáticos siguen siendo un desafío. En la actualidad, la nueva generación de robos cibernéticos utilizan los cajeros automáticos como punto final para generar cobros, lo cual se ha convertido en un problema de miles de millones de dólares. En una reciente redada se robaron $ 13.5 millones del Cosmos Bank de India. Aunque el FBI emitió una advertencia sobre una operación inminente de “retiro en cajeros automáticos”, ya era demasiado tarde; el banco fue atacado apenas un día después de la advertencia. Entonces, ¿qué pueden hacer las instituciones financieras ante una amenaza de casi una década que no muestra signos de disminuir?
Cobrando sobre los retiros
El FBI afirmó que los retiros en cajeros automáticos a menudo están dirigidos contra los bancos más pequeños que podrían no tener el mismo presupuesto para gastar en seguridad cibernética como sus contrapartes más grandes. En el caso del ataque de Cosmos o de Carbanak y Anunak, las pandillas internacionales se introducen en sistemas de back-end, explotan el acceso a la red para instalar un malware que elimina los controles de fraude, tales como los montos máximos de retiro, transferencia de fondos a otros bancos, el aumento de saldos, entre otros. Después de esto usan tarjetas de banda magnética clonadas para retirar los fondos ganados. Otro ataque cibernético es el jackpotting ATM, el cual modifica el software del cajero automático.
La variedad de enfoques utilizados por los ciberdelincuentes refuerza la necesidad de construir un enfoque de seguridad holístico y en capas, que incluya tanto el punto final (ATM) como el software interno de un banco.
Al final, la advertencia del FBI no ayudó en nada al Cosmos Bank, con sede central en Pune, porque los atacantes hicieron retiros en 28 países de todo el mundo. Se afirmó que los perpetradores incluso habían eludido los sistemas internos de aprobación de transacciones para lograr el ataque.
Pero este no fue ciertamente el primer ataque cibernético de este tipo: en 2013, los ciberdelincuentes robaron $45 millones de los cajeros automáticos, y en 2016 se extrajeron más de $ 12 millones de los puntos de efectivo en Japón utilizando tarjetas clonadas de un banco sudafricano. Sin mencionar la actividad de la infame pandilla Carbanak, que se dice fue la responsable de hasta $1 mil millones en robos de bancos de todo el mundo, utilizando diferentes métodos de ataque que incluyen el cajero automático como punto de retiro.
Desde ataques físicos hasta ataques basados en la red
Estos ataques avanzados a la red difieren de los ataques tradicionales en cajeros automáticos que pretenden vaciar los cajas de efectivo de un cajero automático en manos de los atacantes en espera (jackpotting) o los detalles de la tarjeta skim de forma virtual o físicas para su uso o venta posterior en la web oscura.
Esto significó instalar cámaras secretas, ranuras especiales en el lector de tarjetas y almohadillas de superposición de PIN para grabar (‘skim’) información lucrativa de la tarjeta, o abrir la caja del cajero automático para instalar malware manualmente a través de USB o CD-ROM. El malware está diseñado para enviar comandos al cajero automático a través de su middleware XFS, para dispensar efectivo; todo el proceso puede tardar tan solo 10 minutos. Las familias de malware como Skimer, GreenDispenser, Ploutus y Alice ilustran la continua popularidad de estos ataques.
Sin embargo, en 2016, Trend Micro y Europol documentaron otra categoría de ataques que ganaron popularidad, aprovechando la red como punto de entrada. Aunque estos requieren una mayor inversión de tiempo y recursos, es menos probable que generen sospechas, ya que no hay interferencia con el ATM físico. En cambio, los piratas informáticos se infiltran en la red del banco a través de correos electrónicos de phishing cargados de malware, roban credenciales de administrador y se mueven lateralmente hacia adentro hasta que obtienen acceso remoto a los cajeros automáticos.
Se puede ordenar a varias máquinas que emitan efectivo al mismo tiempo y algunos programas maliciosos pueden incluso eliminarse a sí mismos, lo que dificulta el análisis . El malware Ripper fue el primero de su tipo detectado en este tipo de ataques a la red.
Protegiendo su red de cajeros automáticos
Los ataques en cajeros automáticos continúan cosechando recompensas financieras para sus perpetradores, lo que significa que no debemos esperar que se rindan. De hecho, los EE. UU. vieron sus primeros ataques durante el 2018, y el FBI declaró con respecto a los retiros en los cajeros automáticos que “espera que la propagación de esta actividad continúe o posiblemente aumente en un futuro cercano”.
Se cree que la limpieza de este tipo de ataques es un problema de más de 2 mil millones de dólares en la industria. A lo largo de los años, los delincuentes han hecho que los skimmers sean más pequeños, más inteligentes y prácticamente indetectables. E incluso cuando el cumplimiento de EMV se abre paso en los EE. UU. y en todo el mundo, la limpieza sigue siendo uno de los problemas más costosos para la industria financiera.
Entonces, ¿qué pueden hacer las instituciones financieras para proteger los fondos y los datos de los titulares de tarjetas? Los atacantes de cajeros automáticos aprovechan muchas fallas de seguridad clásicas, como usuarios finales crédulos, control de contraseñas laxas, mala segmentación de la red y sistemas no parcheados. Por lo tanto, un enfoque de mejores prácticas debe incluir:
Actualizaciones regulares al sistema operativo subyacente y al software relevante (por ejemplo, XFS).
Seguridad física para cajeros automáticos, incluidas las alarmas de manipulación en máquinas de alto riesgo; Control de acceso 2FA para técnicos; chequeos regulares de servicio; Módulos antideslizantes.
Prevención de intrusiones y cifrado del disco duro para proteger los cajeros automáticos durante el funcionamiento.
Mejorar la educación de los usuarios sobre cómo detectar correos electrónicos de phishing.
Segmentación de la red para dificultar el movimiento lateral dentro de la red bancaria.
Control de aplicaciones / listas blancas para reducir aún más el riesgo de infección de malware.
Supervisión continua de la red para activar la alarma si hay una intrusión en la red.
Mientras haya dinero detrás de la carcasa de metal, las bandas criminales siempre buscarán formas innovadoras de llegar a ella. Para detener el cobro en efectivo en el cajero automático, debemos comprender los riesgos y tomar tiempo para conectar defensas de múltiples capas.
Para obtener más información, lea nuestro informe, en coautoría con Europol: Cobro en malware por cajero automático.
Leave a Reply