Cyber-Ataques: cómo detener un problema multimillonario

Donde hay dinero, siempre ha habido crimen. Los robos a bancos tradicionales y las agresiones físicas en los cajeros automáticos siguen siendo un desafío, y ahora una nueva generación de robos cibernéticos, que utilizan los cajeros automáticos como punto final para cobros, se ha convertido en un problema de miles de millones de dólares. En una reciente redada se robaron $ 13.5 millones del Cosmos Bank de India. Aunque el FBI emitió una advertencia sobre una operación inminente de “retiro de cajeros automáticos”, ya era demasiado tarde; El banco fue atacado apenas un día después de la advertencia. Entonces, ¿qué pueden hacer las instituciones financieras con una amenaza de una década que no muestra signos de disminuir?

Cobros maliciosos en cajeros automáticos

El FBI afirmó que los retiros de cajeros automáticos a menudo están dirigidos contra bancos más pequeños que podrían no tener el mismo presupuesto para gastar en seguridad cibernética que sus contrapartes más grandes. En el caso del ataque de Cosmos, y en los ataques cibernéticos de Carbanak y Anunak, las pandillas internacionales se introducen en sistemas de back-end, explotan el acceso a la red para instalar malware que elimina los controles de fraude, como los montos máximos de retiro, la transferencia de fondos a otros bancos y Aumenta el saldo de clientes. Las bandas dispersas luego usan tarjetas de banda magnética clonadas para retirar los fondos. En otros ataques cibernéticos, como el jackpotting en cajeros automáticos, se altera el software del cajero automático. La variedad de enfoques utilizados por los ciberdelincuentes refuerza la necesidad de construir un enfoque de seguridad holístico y en capas, que incluya tanto el punto final (ATM) como la pila de software interna completa de un banco.

Al final, la advertencia del FBI no ayudó a Cosmos Bank, con sede central en Pune, ya que los cómplices retiraron a millones de cajeros automáticos en 28 países de todo el mundo. Afirmó que los perpetradores incluso habían logrado eludir los sistemas internos de aprobación de transacciones para permitir el ataque. Pero ciertamente este no fue el primer ataque cibernético de este tipo: en 2013, los ciberdelincuentes robaron $ 45 millones de los cajeros automáticos, y en 2016 se extrajeron más de $ 12 millones de los puntos de efectivo en Japón utilizando tarjetas clonadas de un banco sudafricano. Eso es por no mencionar la actividad de la infame pandilla Carbanak, que se dice fue responsable de hasta $ 1 mil millones en robos de bancos de todo el mundo, utilizando diferentes métodos de ataque que incluyen el cajero automático como punto de retiro.

Desde ataques físicos hasta ataques basados en la red.

Estos ataques avanzados a la red difieren de los ataques tradicionales en cajeros automáticos que pretenden vaciar el efectivo de un cajero automático en manos de los delincuentes en espera (jackpotting) o los detalles de la tarjeta skim de forma virtual para su uso posterior o para su venta en la web oscura. Esto significó instalar cámaras secretas, ranuras de lector de tarjetas y almohadillas de superposición de PIN para grabar / ‘skim’ de la lucrativa información de la tarjeta, o abrir la caja del cajero automático para instalar malware manualmente a través de USB o CD-ROM. Ese malware está diseñado para enviar comandos al cajero automático a través de su middleware XFS, para dispensar efectivo; todo el proceso puede tardar tan poco como 10 minutos. Familias de malware como Skimer, GreenDispenser, Ploutus y Alice ilustran la continua popularidad de los ataques de malware en el sitio.

Sin embargo, en 2016, Trend Micro y Europol documentaron otra categoría de ataques que ganaron popularidad, aprovechando la red como punto de entrada. Aunque estos requieren una mayor inversión de tiempo y recursos por adelantado, es menos probable que generen sospechas, ya que no hay interferencia con el ATM físico en sí. En su lugar, los piratas informáticos se infiltran en la red del banco a través de correos electrónicos de phishing cargados de malware, roban credenciales de administrador y se mueven lateralmente hacia adentro hasta que obtienen acceso remoto a los cajeros automáticos. Se puede ordenar a varias máquinas que emitan efectivo al mismo tiempo y algunos programas maliciosos pueden incluso eliminarse a sí mismos, lo que dificulta el análisis forense. El malware Ripper fue el primero de su tipo detectado en este tipo de ataques a la red.

Protegiendo su red de cajeros automáticos

Los ataques en cajeros automáticos continúan cosechando recompensas financieras para sus perpetradores, lo que significa que no debemos esperar que se rindan. De hecho, los EE. UU. Vieron sus primeros ataques “jackpotting” este año, y el FBI dijo sobre los retiros en cajeros automáticos que “espera que la ubicuidad de esta actividad continúe o posiblemente aumente en un futuro cercano”.

Se cree que la limpieza sola es un problema de más de 2 mil millones de dólares en la industria. A lo largo de los años, los delincuentes han hecho que los skimmers sean más pequeños, más inteligentes y prácticamente indetectables. E incluso cuando el cumplimiento de EMV se abre paso en los EE. UU. Y en todo el mundo, la limpieza de estos malware sigue siendo uno de los problemas más costosos de la industria financiera.

Entonces, ¿qué pueden hacer las instituciones financieras para proteger los fondos y los datos de los titulares de tarjetas? Los atacantes de cajeros automáticos aprovechan muchos lapsos de seguridad clásicos, como usuarios finales crédulos, control de contraseñas laxas, mala segmentación de la red y sistemas no parchados. Por lo tanto, un enfoque de mejores prácticas debe incluir:

  • Actualizaciones regulares al sistema operativo subyacente y al software relevante (por ejemplo, XFS).
  • Seguridad física para cajeros automáticos, incluidas las alarmas de manipulación en máquinas de alto riesgo; Control de acceso 2FA para técnicos; chequeos regulares de servicio; Módulos antideslizantes.
  • Prevención de intrusiones y cifrado del disco duro para proteger los cajeros automáticos durante la operación.
  • Se mejoró la educación de los usuarios sobre cómo detectar correos electrónicos de phishing.
  • Segmentación de la red para dificultar el movimiento lateral dentro de la red bancaria.
  • Control de aplicaciones / listas blancas para reducir aún más el riesgo de infección de malware.
  • Supervisión continua de la red para activar la alarma si hay una intrusión en la red.

Mientras haya dinero detrás de la carcasa de metal, las bandas criminales siempre buscarán formas innovadoras de llegar a ella. Para evitar que cobren dinero en efectivo en el cajero automático, debemos comprender los riesgos y tomar tiempo para conectar defensas de múltiples capas.

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *