Gli attacchi informatici sono in continuo aumento, come testimonia l’ultimo rapporto dell’Osservatorio Cybersecurity del Politecnico di Milano: 1.141 incidenti gravi rilevati dal Clusit nel solo primo semestre 2022, +8,4% rispetto allo stesso periodo 2021.
Le minacce interessano sempre più le infrastrutture critiche; il 67% delle imprese rileva un aumento dei tentativi di attacco e il 14% ha subito conseguenze tangibili a seguito di incidenti informatici, come interruzioni del servizio, ritardi nell’operatività dei processi o danni reputazionali.
In questo contesto, ogni organizzazione che gestisce una rete ATM è un potenziale bersaglio di attacchi jackpotting. Avere consapevolezza di questo permette di prendere contromisure di cybersicurezza efficienti per le infrastrutture critiche come gli ATM, che forniscono un servizio insostituibile per gli utenti e devono garantire disponibilità e affidabilità.
Rilevata una nuova minaccia per gli ATM
L’ATM jackpotting è una delle modalità di cyber attacco più diffuse; consente all’attaccante di prelevare direttamente il contante dagli sportelli automatici in maniera fraudolenta. Dopo il caso registrato nel febbraio 2023, in cui è stata riscontrata la variante denominata FiXS, a maggio è stata evidenziata una nuova minaccia.
La nuova minaccia è frutto della combinazione di due tecniche: shimming e relay attack, che si basano sulla compromissione di due dispositivi non presidiati e sul trasferimento di dati tramite bluetooth e reti mobili al fine di aggirare le misure di sicurezza.
Questo attacco viene messo in atto dagli hacker servendosi di un piccolo dispositivo hardware che viene inserito direttamente nel lettore di carte dell’ATM, il quale rende possibile avviare il trasferimento in tempo reale via Bluetooth dei dati letti a un apparecchio mobile posto in prossimità dell’ATM. La trasmissione dei dati è finalizzata al trasferimento presso un ulteriore dispositivo – un altro ATM posto nelle vicinanze – in cui i truffatori possono beneficiare dell’operazione, ossia ottenere l’erogazione del contante. Tutto avviene in tempo reale.
Ecco come funziona: quando l’utente inserisce la propria carta nell’ATM e avvia la transazione di pagamento/prelievo, i dati vengono intercettati dallo shimmer e trasferiti al dispositivo ATM collegato. A quel punto il titolare della carta non può completare l’operazione e riceve un falso messaggio di errore; subito dopo riceve un addebito dovuto al ritiro dal suo conto effettuato dal dispositivo preso di mira dai truffatori.
“Questa forma di attacco innovativa è la dimostrazione di come i cyber attacchi si stiano spostando dalle tradizionali tattiche black-box all’intrusione di rete attraverso gli sportelli ATM sfruttando la loro progressiva interconnessione. A ciò si aggiunge anche il mancato presidio di moltissimi ATM, dinamica che facilita lo svolgimento di azioni fraudolente” commenta il Strategic Foresight Team di Auriga.
Zero Trust e il punto di vista di Auriga
I dispositivi ATM sono molto difficili da proteggere con le tecnologie tradizionali. Occorre concentrarsi sulla riduzione della superficie di attacco sul canale self-service e sui processi operativi chiave, trasformando i suoi punti deboli in punti di forza. In questo contesto, entra in gioco il modello Zero Trust, che ha un ruolo centrale nella strategia di cybersecurity. Zero Trust vuol dire svolgere tutta una serie di ipotesi sospette che riguardano la vulnerabilità dell’infrastruttura tradizionale che gestisce i dispositivi, interrogando ogni accesso senza scartare alcuna ipotesi:
- il sistema di accesso remoto potrebbe essere manipolato;
- il sistema di distribuzione del software potrebbe essere utilizzato per distribuire malware;
- il tecnico della manutenzione o l’utente finale stesso potrebbero essere degli hacker;
- infine, il disco rigido potrebbe essere rubato per effettuare attività di reverse engineering.
La strategia Zero Trust ha valore poiché implica un radicale cambiamento nel paradigma della sicurezza, in quanto si passa da un modello di legittimità basato su fonti esterne e analisi del comportamento a un approccio proattivo. Secondo il punto di vista di Auriga, uno dei punti più critici risiede proprio nella drastica riduzione della superficie di attacco.
In secondo luogo, è necessario controllare rigidamente ogni modifica all’ATM, bloccando qualsiasi tentativo di modifica del software o dell’hardware che non sia stato esplicitamente autorizzato.
La soluzione Lookwise Device Manager (LDM) di Auriga
Sull’approccio Zero Trust si basa la soluzione Lookwise Device Manager (LDM) sviluppata da Auriga per la cybersecurity dei dispositivi self-service delle banche, quali ATM e ASST.
LDM attua un modello di protezione a più livelli per bancomat, ASST e altri dispositivi critici, in tutte le fasi del ciclo dell’attacco, garantendo piena disponibilità dei servizi per i clienti. Si punta a impedire connessioni di rete non attendibili da processi specifici da e verso porte esterne, limitando le connessioni dei processi a porte e IPS di server noti; così facendo si riduce la superficie delle vulnerabilità, prevenendo attacchi remoti e man-in-the-middle.
LDM di Auriga è in grado di proteggere i dispositivi critici da qualsiasi attacco malware, grazie alle sue protezioni a più livelli. Questo perché l’integrità del file system non può essere manomessa, a prescindere dal vettore di attacco. Il disco rigido è protetto da crittografia contro gli attacchi di avvio a freddo; la protezione hardware protegge da attacchi black-box e la protezione delle comunicazioni protegge dagli attacchi man-in-the-middle e dalle intrusioni di rete.
Come ultima, ulteriore barriera va sottolineato che anche se l’attacco hacker avesse successo, e il malware penetrasse nell’immagine del software dell’ATM, la protezione Software Whitelisting di Auriga ne impedirebbe l’attivazione.
Con le minacce informatiche in costante evoluzione, ci impegniamo affinché LDM possa fornire il massimo livello di protezione alle reti ATM dei nostri clienti. Lo dimostrano i recenti sviluppi, che hanno lo scopo di migliorare le comunicazioni e i processi, consentendo solo connessioni affidabili e proteggendo gli ATM da accessi remoti non autorizzati.
Guardando al futuro, prevediamo ulteriori sviluppi di LDM che puntino a migliorare i processi operativi chiave, dall’aggiornamento alla distribuzione del software, con particolare attenzione alle operazioni di manutenzione in loco, per assicurarsi che venga installato solo il software autorizzato.
Articolo realizzato in collaborazione con Auriga
