Clicky

Ataques a cajeros: cómo los hackers van por el dinero

Robo en cajeros

Los atacantes están infectando cajeros automáticos con malware a través de las redes

Imagínate ganar la lotería y tener un cajero automático escupiendo grandes cantidades de dinero en efectivo. Eso es exactamente lo que persiguen algunos ciberdelincuentes.

Están apuntando a los cajeros automáticos y lanzando ataques de "jackpot", forzándolos a pagar billetes como una máquina tragaperras ganadora. Ya este año el servicio secreto de EE. UU. ha advertido a las instituciones financieras de tales ataques.

El investigador de seguridad Barnaby Jack demostró tal ataque y asombró a los asistentes a Black Hat cuando hizo que dos cajeros automáticos sin parchar escupieran dinero en el escenario. En su mayor parte, sin embargo, el jackpot fue hasta hace poco poco más que hipotético.

Ahora, con las cepas confirmadas de malwares como Ploutus.D que se utilizan en los ataques de jackpot a cajeros automáticos en suelo estadounidense, el jackpot se puede agregar a la creciente lista de tipos de populares ataques a cajeros, incluidos los ataques de skimming, shimming y basados en red. Aquí examinamos varias técnicas de ataque a cajeros automáticos y ofrecemos recomendaciones de seguridad para protegerlos.

Jackpotting

Jackpotting

Los atacantes usan dispositivos electrónicos externos, o software malicioso, para lanzar ataques con jackpot o "cash-out", que les permiten tomar el control del hardware del cajero automático. En algunos casos, los atacantes reemplazan todo el disco duro de un cajero automático y ejecutan software malicioso para escupir efectivo de los cajeros automáticos. Otros ataques implican ubicar el cable USB que conecta el dispensador de efectivo con la PC del cajero automático, cortarlo y conectar el lado del dispensador a un dispositivo atacante, lo que obliga al dispensador de efectivo a dispensar todo el dinero. Los atacantes también pueden descubrir un puerto USB en la PC de cajero y conectarlo a una unidad USB que contiene malware, que luego toma el control del dispensador de efectivo.

Uno de estos ataques se realizó en Alemania en agosto de 2015 cuando los atacantes accedieron al cajero automático, desconectaron el cable de comunicaciones del dispensador de efectivo desde el núcleo de la computadora del cajero y luego conectaron el cable a su propio dispositivo (el "Black Box"). Los comandos fueron enviados por el dispositivo electrónico externo directamente al dispensador, lo que resulta en una dispensación de efectivo no autorizada desde el cajero automático.

La mejor forma de minimizar el riesgo de ataques con jackpot es con el cifrado de extremo a extremo. Básicamente, cifrar las comunicaciones entre la PC del cajero y el dispensador de efectivo; el disco duro; y comunicaciones entre la red financiera y el cajero automático. Esto, junto con el uso de buenos controles de seguridad de red y una metodología de punto final menos privilegiada reducirá drásticamente la superficie de ataque.

Skimming

Algunos atacantes toman un camino anticuado y abren el cajero automático con explosivos, pero hay una forma más sofisticada y de alta tecnología de robo de tarjetas magnéticas que apuntan a los cajeros automáticos: el skimming (fraude).

El skimming de cajeros automáticos es un robo de identidad de dos componentes. Primero, los atacantes usan elementos electrónicos ocultos para robar información personal almacenada en la tarjeta de un usuario. A continuación, usan medios adicionales para registrar el PIN de un usuario.

La primera parte involucra al skimmer mismo. El skimmer es un lector de tarjetas que se integra perfectamente en la ranura para tarjetas del cajero automático. Cuando un usuario inserta su tarjeta en la máquina, inconscientemente la inserta a través del lector de tarjetas del atacante, que escanea y almacena la información en la banda magnética y la envía de vuelta al atacante.

Los atacantes necesitan el PIN del usuario para hacer uso de la tarjeta robada. Usan cámaras espías y superposiciones de teclado para registrar el PIN de la víctima, dándoles todo lo que necesitan para replicar y usar la tarjeta de la víctima.

El fraude de tarjetas sigue siendo, de lejos, la forma más frecuente de ataque a cajeros y su frecuencia sigue siendo alta incluso en mercados donde EMV (Europay, Mastercard y Visa) se han desplegado por completo y se utilizan tarjetas con chip. Eso es porque la vulnerabilidad reside en la banda magnética de la tarjeta. Siempre que la banda magnética permanezca en la tarjeta y la tarjeta pase a través de un dispositivo que lea los datos de la banda, existe riesgo de fraude de la tarjeta.

El fraude de tarjetas se puede evitar de manera efectiva a través del despliegue de soluciones integrales de antidesnacimiento y monitoreo. Por ejemplo, los fabricantes de cajeros automáticos están utilizando las capacidades de interferencia para deshabilitar eficazmente la capacidad de los skimmers para capturar la información de la tarjeta con un sofisticado sistema de monitoreo, permitiendo a los operadores de cajeros automáticos recibir alertas y notificaciones con la capacidad del operador de poner al cajero automático inmediatamente fuera de servicio cuando sospechen que el cajero automático está siendo atacado.

Shimming

A diferencia de los skimmers, un shimmer (reflector), llamado así por su delgado perfil, cabe dentro de un lector de tarjetas de crédito o debito y puede ser instalado rápida y discretamente por un atacante que lo desliza dentro de la máquina mientras simula hacer un retiro.

Los reflectores están hechos de una delgada y flexible placa de circuito impreso y un chip microprocesador. Una vez instalado, el microprocesador en el reflector está programado para funcionar como un chip en el medio, donde transmite los comandos del cajero a la tarjeta con chip de la víctima y viceversa, mientras graba información de la tarjeta con chip. Esta información es luego extraída por el atacante y utilizada para clonar tarjetas magnéticas falsas. Sin embargo, no pueden usarse para fabricar una tarjeta basada en chip. Los reflectores son más difíciles de detectar que los skimmers porque están completamente insertados en el lector del cajero, lo que los hace prácticamente invisibles.

Aunque los ataques de shimming llegaron para quedarse, solo tienen éxito si los bancos emisores no autorizan adecuadamente las transacciones con tarjeta. Mediante el uso de diferentes valores de verificación de tarjeta (CVV) para tarjetas con chip y tarjetas magnéticas y el control regular de CVV durante las transacciones, los atacantes no podrán clonar tarjetas magnéticas utilizando esta técnica, lo que evitará esta categoría de fraude. Sin embargo, las tarjetas clonadas con shimming se pueden usar en aquellas transacciones de Internet donde no se requiere el CVV.

Ataques basados en la red de cajeros automáticos

Los atacantes también están infectando cajeros automáticos con malware a través de las redes. Una vez que un atacante obtiene acceso a la red de un banco, puede instalar malware al cajero desde una ubicación remota.

Otro ataque a la red de cajeros se dirige a los cajeros automáticos fuera de las instalaciones. Estos deben estar conectados a las redes bancarias. Sin embargo, muchos de estos cajeros automáticos fuera de las instalaciones usan comunicaciones no cifradas, lo que expone los detalles de la tarjeta (aunque no los PIN, que siempre se envían encriptados).

Los ataques basados en la red en cajeros automáticos no son diferentes de los ataques a otros tipos de infraestructura, y deben protegerse utilizando los mismos medios, que incluyen:

Protección de credenciales: guarda las credenciales de acceso de forma segura, restringe el acceso y gírelo automáticamente para reducir el uso no autorizado de cuentas con privilegios.

Asegurar sesiones: utiliza el aislamiento de sesión para crear una separación entre los puntos finales del administrador y la infraestructura de cajeros, asegurando que el malware no se pueda propagar desde la red a los activos de destino.

Haz cumplir la protección de privilegios mínimos y punto final: reduce la superficie de ataque al incluir listas negras/listas blancas en la infraestructura de cajeros.

Monitoreo continuo: monitorea de cerca las redes en función de eventos o patrones de eventos que se encuentren fuera de las líneas de base generadas para cada red. En el caso de que un atacante logre apropiarse de las credenciales y obtener acceso a los activos de destino, como los cajeros automáticos, las organizaciones deben ser capaces de detectar y tratar rápidamente el comportamiento malicioso.

Resumen

Los ataques criminales a los cajeros automáticos no son nada nuevo. Sin embargo, lo nuevo es la forma en que se llevan a cabo.

Los atacantes están constantemente evolucionando sus métodos de ataque. Esto hace que sea particularmente desafiante para las instituciones financieras asegurar cajeros automáticos.

Con una comprensión básica de los métodos de ataque más populares, los bancos tendrán más éxito en la protección de los cajeros automáticos (ATM) y, en última instancia, de sus clientes, incluso cuando se introduzca un nuevo malware.

Jesus_Caceres