ATM Attack: come i cybercriminali attaccano gli sportelli dei Bancomat

18 Giu 2021 | Rischi Online

Chi l’ha detto che i cybercriminali agiscono solo sul web? I cosiddetti ATM (automated teller machine) Attack sono molto più frequenti di quanto si possa immaginare. Si tratta di veri e propri attacchi informatici che prendono di mira gli sportelli dei Bancomat. 

A chiunque sarà capitato di prelevare del denaro da uno sportello Bancomat in situazioni diverse, anche all’estero, e di sentirsi tranquillo. Tuttavia, queste apparecchiature che crediamo così sicure non sono poi così protette: utilizzano ancora tecnologie sorpassate e sistemi operativi obsoleti, come Windows XP, facilmente hackerabili al giorno d’oggi.

Come fa quindi un hacker a compromettere uno sportello e rubare del denaro? Che tecniche utilizza? E come facciamo a proteggerci?

Indice

Cos’è un ATM Attack

ATM Attack: la fase iniziale

Il test in laboratorio

Come avviene l’hacking di un ATM: tipi di ATM Attack

Consigli utili per contrastare gli ATM Attack­

Cos’è un ATM Attack

L’ATM Attack, o attacco allo sportello del Bancomat, è una frode informatica ai sistemi bancari. Gli hacker sfruttano le vulnerabilità di queste macchine per rubare denaro contante o i dati personali degli utenti che le utilizzano.

Infatti, proprio come qualsiasi dispositivo informatico, gli ATM hanno delle falle. Ma come fanno i criminali informatici a comprometterli?

Facciamo un passo indietro e capiamo come sono fatti. Gli ATM sono composti da un computer (e le sue periferiche) e da una cassaforte. Il primo è racchiuso in un armadio, solitamente non particolarmente sicuro o robusto, ed è per questo che i criminali possono usare semplici strumenti, ad esempio chiavi facilmente acquistabili online, per scassinarlo e avere accesso al computer o alla cassaforte.

Lo sportello è direttamente collegato alla cassaforte dove viene conservato il contante. Un computer compromesso può facilmente dare ai criminali l’accesso all’interfaccia tra il computer e la cassaforte per comandare l’erogazione del contante, senza usare le informazioni rubate della carta del cliente.

Il computer di solito gira su Windows, una versione creata appositamente per gli ATM. Gli utenti non vedono la familiare interfaccia desktop di Windows perché l’accesso è limitato. Quello che vedono sono le applicazioni rivolte all’utente che permettono di fare transazioni.

Oggi, nonostante l’evoluzione tecnologica dei sistemi operativi, molti ATM funzionano ancora con Windows XP, decisamente obsoleto: il software al suo interno necessita di aggiornamenti. Detto questo, i criminali possono scegliere tra un vasto ventaglio di opzioni da utilizzare per sfruttare al meglio le vulnerabilità del software e prendere il controllo del sistema.

Il traffico tra il computer e il server di elaborazione delle transazioni di solito non è criptato: un gioco da ragazzi per gli hacker intercettare i dati trasmessi dal cliente al server della banca. Peggio ancora, gli sportelli sono notoriamente noti per l’implementazione di una scarsa protezione firewall, che li rende suscettibili di attacchi di rete.

In alcuni casi, interfacce con una porta USB visibile possono incoraggiare i malintenzionati ad introdurre malware nella macchina tramite un dispositivo portatile. Poiché il software di sicurezza può non essere installato, e non è presente l’autenticazione tra le periferiche e il sistema operativo, la probabilità di infezione è molto alta.

Altre debolezze degne di nota sono il software Application Control mancante o mal configurato, la mancanza di crittografia del disco rigido, e poca o nessuna protezione contro gli utenti che accedono all’interfaccia Windows e introducono altri dispositivi hardware all’ATM.

ATM Attack: la fase iniziale

Solitamente, gli hacker pianificano l’ATM Attack scegliendo accuratamente il bersaglio. I criminali informatici sono molto scrupolosi nella definizione dei loro obiettivi perché, se conoscono l’hardware degli sportelli Bancomat, saranno più facilitati nella scelta del malware e della chiave appropriati per sabotare e aprire il contenitore ATM. 

Conoscere la posizione esatta degli ATM, gli orari di apertura e i numeri di telefono è fondamentale per gli hacker: analizzano quali macchine sono più vulnerabili. Per svolgere questo tipo di attività utilizzano banalmente Google Maps: aprono l’applicazione, cercano nella propria zona “ATM” e il gioco è fatto.

Il test in laboratorio

A questo punto i criminali informatici studiano “a casa” come preparare il software maligno. Il metodo più semplice e diffuso per installare il malware nell’ATM è attraverso una chiavetta USB.

I test che vengono eseguiti in laboratorio dagli hacker consistono nel mettere alla prova il tipo di malware più adatto all’attacco.

Un modo molto utilizzato è quello di inserire una chiavetta USB dotata di sistema operativo nell’ATM e riavviarlo. A questo punto, il vero sistema operativo si “spegne” e gli attori della minaccia possono installare il malware. Quando riavviano la macchina usando il normale sistema operativo, possono controllare il malware inserendo una carta appositamente creata, oppure tramite una combinazione segreta di tasti composti sulla tastiera.

Prima di compiere un ATM Attack, i criminali informatici marcano gli ATM in una città, e prendono di mira quelli con un alto utilizzo. Gli attacchi sono tipicamente pianificati per giorni come il Black Friday, San Valentino, o sotto Natale, quando sono caricati con fino al 20% di denaro in più del solito.

Come avviene l’hacking di un ATM: tipi di ATM Attack

I malware utilizzati dagli hacker per attuare un ATM attack vengono solitamente acquistati nel dark web.

Eseguire l’hacking del server di una banca è solo uno dei molti modi conosciuti in cui i criminali mettono le mani sui dettagli delle carte di credito dei correntisti e sul loro denaro. Alcuni metodi sono intelligenti e tattici, alcuni possono essere rozzi, altri sono più distruttivi e pericolosi. 

Abbiamo evidenziato qui gli ATM Attack in base alla loro classificazione: manomissione del terminale, attacchi logici e di ingegneria sociale.

Manomissione del terminale

La maggior parte degli ATM attack avviene attraverso la manipolazione fisica di parti della macchina o l’introduzione di dispositivi (come la chiavetta USB). 

Skimming ATM: è un tipo di frode in cui un dispositivo di skimming, un lettore di carte (skimmer) e una sovrapposizione della tastiera, viene introdotto nella macchina mettendolo rispettivamente sopra la fessura della carta e la tastiera. Più assomiglia a quello della macchina, meglio funzionerà (e meno probabilità avrà di attirare sospetti da parte degli utenti).

Lo scopo del secondo lettore è quello di copiare i dati della banda magnetica e del PIN della carta in modo che il criminale possa creare dei duplicati. 

Naturalmente, ci sono molti modi per catturare illegittimamente i dati della carta e del PIN. Tutti rientrano in questo schema.

I criminali possono alzare la posta della loro campagna di skimming comprando uno sportello di seconda mano (ad un prezzo stracciato) e poi truccandolo per registrare i dati. A differenza degli sportelli reali, questi non erogano contanti. È il metodo più convincente perché i correntisti diffidenti non penserebbero che un intero ATM sia falso.

I dispositivi di skimming possono anche essere inseriti nei terminali dei punti vendita (POS) nei negozi o nelle pompe di benzina. Alcuni skimmer sono abbastanza piccoli da poter essere nascosti nella mano, in modo che, se qualcuno con cattive intenzioni riceve una carta di pagamento, può rapidamente strisciarla con il suo skimmer dopo averla strisciata in un terminale POS.

Shimming: è una forma aggiornata di skimming. Il suo obiettivo è registrare o rubare dati sensibili dai chip incorporati nelle carte bancarie. 

Un dispositivo di shimming viene inserito nella fessura della carta dell’ATM, tra la carta e il lettore di chip. In questo modo, lo shimmer registra i dati dal chip della carta mentre il lettore della macchina li legge. A differenza dei precedenti dispositivi di skimming, gli shimmer possono essere virtualmente invisibili se inseriti perfettamente. L’unico segno che indica il dispositivo di shimming installato è una fessura stretta visibile quando si inserisce la carta di credito. 

I dati rubati dalle carte con chip (conosciute anche come carte EMV) possono essere convertiti in dati della banda magnetica, che a sua volta può essere usata per creare versioni false delle nostre tradizionali carte a banda magnetica. 

Nonostante le carte con il chip promettevano di essere più sicure rispetto alle tradizionali a banda magnetica, con un maggior numero di utenti e commercianti che ora le preferiscono, ci si doveva aspettava che i criminali avrebbero trovato un modo per aggirare la sicurezza del chip e leggere i dati da esso. 

Trappole per ATM: Card trapping. Anche se non così ampiamente riportato come altri schemi di ATM attack, il card trapping è vivo e, sfortunatamente, utilizzato.

Il card trapping è un metodo in cui i criminali catturano fisicamente la carta di credito o di debito del loro obiettivo tramite un ATM. Lo fanno introducendo un dispositivo, di solito un loop libanese: un dispositivo usato per commettere frodi e furti d’identità sfruttando gli sportelli automatici. Nella sua forma più semplice, è una striscia o un manicotto di metallo o plastica che blocca la fessura della carta dello sportello, facendo sì che qualsiasi carta inserita sia apparentemente trattenuta e impedisce che venga espulsa una volta completata la transazione.

Trappola di contanti. È come la trappola della carta, solo che i criminali rubano i contanti che il loro obiettivo ha appena prelevato. Utilizzano un attrezzo, simile a un artiglio che tiene aperta la fessura del contante dopo un prelievo, che viene introdotto nella fessura dell’ATM per intrappolare almeno una parte del contante o la maggior parte di esso.

ATM Attack logici

Per attacchi logici si intendono attacchi di jackpotting o ATM cash-out. Coinvolgono lo sfruttamento e la manipolazione del sistema della macchina usando malware o un altro dispositivo elettronico detto scatola nera.

Non appena i criminali informatici ottengono il controllo del sistema, svuotano la cassaforte dei contanti, proprio come una slot machine.

Affinché un attacco logico abbia successo, è necessario accedere all’ATM. Per farlo gli hacker usano uno strumento, come un trapano, per fare un’apertura nell’involucro e introducono un altro pezzo di hardware (una chiavetta USB, per esempio).

Se pensi che gli attacchi logici siano troppo complessi per il criminale informatico medio, ripensaci. Per un prezzo sostanziale, chiunque abbia denaro da risparmiare può visitare i forum del Dark Web e acquistare malware ATM, completi anche di facili istruzioni. Poiché i truffatori ATM meno competenti possono utilizzare il malware creato e utilizzato dai professionisti, la distinzione tra i due si confonde.

Tipi di attacco logico

Ad oggi, ci sono due sottocategorie di attacchi logici che i truffatori possono portare avanti: attacchi basati su malware e attacchi a scatola nera

Attacchi basati su malware. Questi attacchi avvengono tramite malware installati o sull’hardware dell’ATM (attraverso una chiavetta USB) oppure sulla rete su cui gira la macchina.

I malware possono essere installati nella rete dell’ATM in diversi modi, tra cui:

Tramite un insider. I truffatori possono costringere o fare squadra con un impiegato della banca, con cattive intenzioni contro il suo datore di lavoro, per fargli fare il lavoro sporco per loro. L’insider ottiene ovviamente una parte del denaro incassato.

Attraverso l’ingegneria sociale. I truffatori possono usare lo spear phishing per prendere di mira certi impiegati della banca e fargli aprire un allegato dannoso. Una volta eseguito, il malware infetta l’intera rete dell’istituto finanziario e i suoi endpoint, che includono lo sportello: diventa quindi una macchina schiava dei ladri. Gli aggressori possono inviare istruzioni direttamente allo sportello infettato per erogare.

Si noti che, poiché i criminali sono già all’interno della rete, si apre una nuova opportunità di fare soldi. Possono ora introdursi in posizioni di dati sensibili per rubare informazioni e/o dati proprietari di cui possono ulteriormente abusare o vendere nel dark web.

Tramite falsi aggiornamenti. Il malware potrebbe essere introdotto nei sistemi ATM attraverso un falso aggiornamento del software, come spiegato da Benjamin Kunz-Mejri, CEO e fondatore di Vulnerability Lab. Ha scoperto, per caso, che gli ATM in Germania avevano mostrato pubblicamente informazioni sensibili di sistema durante il processo di aggiornamento del software. In un’intervista, Kunz-Mejri ha affermato che i truffatori potrebbero potenzialmente utilizzare le informazioni per eseguire un attacco ed entrare nella rete di una banca locale, eseguire il malware apparso come legittimo aggiornamento del software, e quindi controllare l’ATM infettato.

Attacchi con scatola nera. Una scatola nera è un dispositivo elettronico, un computer, un telefono cellulare, un tablet, o anche un circuito modificato collegato a un cavo USB, che permette all’hacker di comandare l’ATM.

L’atto di scollegare fisicamente l’erogatore di denaro dal computer dell’ATM per sostituirlo con la scatola nera bypassa la necessità per gli hacker di usare una carta o ottenere l’autorizzazione per confermare le transazioni.

Un attacco con scatola nera potrebbe coinvolgere tattiche di ingegneria sociale, come vestirsi come un tecnico ATM, per placare i sospetti mentre l’attore della minaccia manomette fisicamente l’ATM.

Dato che questo tipo di attacco non usa malware, un attacco con scatola nera di solito lascia poche o nessuna prova, a meno che i truffatori non abbiano lasciato l’hardware che hanno usato, ovviamente.

Ingegneria sociale

Prendere di mira direttamente gli ATM compromettendo i loro punti deboli, sia che si trovino sulla superficie o all’interno, non è l’unico modo che i truffatori usano per ottenere denaro facile. Possono anche approfittare delle persone ignare che li usano.

Defraudare gli anziani è diventato un trend in Giappone. I truffatori che si fingono parenti che hanno bisogno di denaro per le emergenze o funzionari governativi che riscuotono tasse, prendono di mira le vittime anziane. Poi li “aiutano” fornendo istruzioni su come trasferire denaro.

Shoulder surfing. Questo è l’atto di essere guardati da qualcuno mentre si digita il PIN usando la tastiera dello sportello. I codici PIN rubati sono particolarmente utili per un “shoulder surfer”, specialmente se il loro obiettivo lascia distrattamente l’area dopo aver recuperato i contanti ma non ha completato la sessione. Alcuni utenti degli ATM si allontanano prima ancora di poter rispondere alla macchina quando chiede se hanno un’altra transazione. E prima che la richiesta scompaia, il truffatore inserisce il PIN rubato per continuare la sessione.

Intercettazioni. L’obiettivo dell’eavesdropping è quello di rubare il codice PIN dell’obiettivo ascoltando e memorizzando i toni che i tasti dell’ATM emettono quando qualcuno inserisce il proprio PIN durante una sessione di transazione.

Frode per distrazione. Questa tattica utilizza sempre lo stesso metodo: un utente inconsapevole viene distratto dal suono delle monete cadute dietro di lui mentre estrae il denaro. Si gira per aiutare la persona che ha fatto cadere le monete, senza sapere che qualcun altro sta già rubando il denaro che l’ATM ha appena erogato, oppure scambia una carta falsa con quella vera.

Quando l’utente torna a guardare il terminale, vedendo che tutto sembri normale, continua per la sua strada. La persona che ha aiutato, d’altra parte, riceve la carta rubata o dice al suo complice il PIN della carta rubata.

Consigli utili per contrastare gli ATM Attack­

Per difendersi da un ATM Attack è meglio essere informati e seguire alcuni consigli:

Quando ti avvicini allo sportello, stai attento a qualsiasi cosa sospetta. Soprattutto dopo il tramonto, fatti accompagnare da un amico se possibile, e parcheggia vicino in una zona ben illuminata.

Scegli un ATM che sembra sicuro da usare, ovvero è ben illuminato, i passanti possono vederlo e ha una telecamera a circuito chiuso puntata. L’ideale è sceglierne uno al chiuso, che si può trovare nelle filiali delle banche, nei centri commerciali, nei ristoranti, nei minimarket ecc. Evita le macchine trascurate o vandalizzate.

Controlla lo sportello: cerca i dispositivi che possono spuntare da dietro o da una qualsiasi delle sue periferiche. Cerca false facciate (sopra le fessure per le carte e i soldi, la tastiera, o, peggio, sopra l’intera faccia della macchina), piccoli buchi dove le telecamere potrebbero guardare, crepe, colori dei tasti spaiati, ecc. Tira il lettore di carte e controlla la tastiera per assicurarti che non ci siano dispositivi extra attaccati. Riferisci qualsiasi di questi segni alla banca e poi cerca un altro ATM.

Proteggi il tuo numero di identificazione personale (PIN) e memorizzalo. Non scriverlo mai sulla carta e non portarlo nel portafoglio o nella borsa. Scegli un PIN che sia diverso da altri numeri annotati nel tuo portafoglio o borsa, come il tuo indirizzo, la data di nascita, il numero di telefono o di previdenza sociale.

Conviene coprire la tastiera quando si inserisce il PIN, sia che ci si trovi da soli in coda o meno. Potresti aver controllato che lo sportello non abbia segni di manomissione fisica, ma è sempre possibile prendere ulteriori precauzioni. Non dirlo mai a nessuno!

Quando usi l’ATM, mettiti direttamente davanti alla tastiera, bloccando la vista degli altri. Non inserire il PIN se qualcun altro può vedere lo schermo. Per quanto remoto possa sembrare, i criminali possono usare attrezzature ad alta potenza per catturare visivamente i PIN dei titolari di carta mentre vengono digitati sulle tastiere.

Raccogliendo le ricevute delle transazioni ATM scartate, i criminali possono confrontare i PIN e i numeri di conto e avere tutte le informazioni di cui hanno bisogno per fabbricare false carte ATM e accedere ai soldi dei consumatori. 

Quando invece sei in fila per usare lo sportello, aspetta bene dietro la persona o le persone che ti precedono, e non avvicinarti finché non hanno completato la loro transazione. 

Dopo aver prelevato, metti via la tua carta, i contanti e la ricevuta in modo rapido e discreto. Se l’ATM non ti ha reso la carta, resta accanto alla macchina e chiama il numero di assistenza 24/7 della tua banca per bloccare la tua carta, così quando i criminali cercheranno di usarla, non funzionerà.

Non accettare mai offerte di assistenza da sconosciuti. Se hai problemi, contatta la tua banca. Quando la tua transazione è completata, prendi immediatamente i tuoi beni (carta, ricevuta, soldi, ecc.) mettili in tasca, portafoglio o borsa e vattene immediatamente.

Gli ATM Attack spesso avvengono dopo che il cliente ha completato la sua transazione. Tieni sempre la testa alta e fai attenzione a ciò che ti circonda quando esci. Se senti o percepisci che qualcuno ti sta seguendo, cammina o guida fino al più vicino negozio aperto o dove c’è molta gente e chiama la polizia.

Se pensi che questo articolo possa essere utile anche ai tuoi colleghi e conoscenti non esitare a condividerlo, ci metti meno di 1 minuto e rendi il web un po’ più sicuro.

La tua Cyber Security via mail


cyberefund emblema bianco e arancione

Difesa e Risarcimento contro i Cyber Attack

CybeRefund Srl - Società Benefit, Sede Legale Piazza Luigi Vittorio Bertarelli, 1 - 20122 Milano (MI)
P.I. e Cod. Fisc. 11076520961

stripe metodi pagamento sicuri cyberefund