PCI SSC a ATMIA sdílejí pokyny a informace o ochraně před výběry hotovosti z bankomatů.
Proč vydáváte tento bulletin o hrozbách pro toto odvětví?
Troy Leach: Od mnoha našich zainteresovaných stran v platební komunitě jsme slyšeli, že „cash-outs“ z bankomatů jsou rostoucím problémem po celém světě. Jako lídr v oblasti bezpečnosti plateb jsme měli pocit, že nastal čas vydat bulletin společně s našimi přáteli a kolegy z ATMIA, jejichž odvětví si je těchto každodenních hrozeb dobře vědomo.
Co jsou ATM Cash-outs? Jak fungují?
Mike Lee: Útok ATM „cash-out“ je v podstatě promyšlený a choreograficky připravený útok, při kterém zločinci proniknou do banky nebo zpracovatele platebních karet a manipulují s kontrolami detekce podvodů a také mění účty zákazníků tak, aby neexistovaly žádné limity pro výběr peněz z mnoha bankomatů v krátkém časovém období. Zločinci často manipulují se zůstatky a limity pro výběry, aby umožnili výběry z bankomatů tak dlouho, dokud se v bankomatech nevyprázdní hotovost.
Jak přesně tyto útoky probíhají?
Mike Lee: Útok ATM cash-out vyžaduje pečlivé plánování a provedení. Zločinecký podnik často získá vzdálený přístup do systému správy karet, aby změnil kontrolní mechanismy prevence podvodů, jako jsou limity výběrů nebo počet PIN kódů kompromitovaných účtů držitelů karet. To se běžně provádí vložením malwaru pomocí metod phishingu nebo sociálního inženýrství do systémů finanční instituce nebo zpracovatele plateb. Zločinecký podnik pak může vytvořit nové účty nebo použít kompromitované stávající účty a/nebo distribuovat kompromitované debetní/kreditní karty skupině osob, které koordinovaně provádějí výběry z bankomatů. Díky kontrole nad systémem správy karet mohou zločinci manipulovat se zůstatky a limity pro výběry a umožnit tak výběry z bankomatů, dokud se v bankomatech nevyprázdní hotovost. Tyto útoky obvykle nevyužívají zranitelnosti samotného bankomatu. Bankomat je použit k výběru hotovosti poté, co byly zneužity zranitelnosti v autorizačním systému vydavatele karty.
Jaké podniky jsou tímto zákeřným útokem ohroženy?
Troy Leach: Finanční instituce a zpracovatelé plateb jsou nejvíce finančně ohroženi a pravděpodobně se stanou cílem těchto rozsáhlých koordinovaných útoků. Tyto instituce mohou potenciálně přijít o miliony dolarů ve velmi krátkém časovém období a mohou být v důsledku tohoto vysoce organizovaného a dobře organizovaného zločineckého útoku vystaveny riziku v několika regionech po celém světě.
Jaké jsou osvědčené postupy detekce, aby bylo možné tyto hrozby odhalit dříve, než mohou způsobit škody?
Troy Leach: Vzhledem k tomu, že k útokům na bankomaty typu „cash-out“ může dojít rychle a během krátké doby odčerpat miliony dolarů, je schopnost odhalit tyto hrozby dříve, než mohou způsobit škodu, klíčová. Některé způsoby, jak tento typ útoku odhalit, jsou:
- Monitorování rychlosti podkladových účtů a objemu
- Možnosti monitorování 24 hodin denně, 7 dní v týdnu, včetně systémů sledování integrity souborů (FIM)
- Systém hlášení, který při zjištění podezřelé aktivity okamžitě vyhlásí poplach
- Vývoj a procvičování systému řízení reakce na incidenty
- Kontrola neočekávaných zdrojů provozu (např.IP adresy)
- Pátrání po neoprávněném spuštění síťových nástrojů
Jaké jsou osvědčené postupy prevence, aby k tomuto útoku vůbec nedošlo
Troy Leach: Nejlepší ochranou proti „vybírání peněz“ z bankomatů je přijetí vrstvené obrany, která zahrnuje lidi, procesy a technologie. K některým doporučením, jak zabránit „cash-outům“ z bankomatů, patří:
- Silná kontrola přístupu k vašim systémům a identifikace rizik třetích stran
- Systémy monitorování zaměstnanců na ochranu před „inside jobem“
- Průběžné školení zaměstnanců o phishingu
- Víceúčelová školení pro zaměstnancefaktorů ověřování
- Silná správa hesel
- Vyžadování vrstev ověřování/schvalování vzdálených změn zůstatků na účtech a limitů transakcí
- Včasná implementace požadovaných bezpečnostních záplat (ASAP)
- Regulérní penetrační testování
- Časté revize mechanismů řízení přístupu a přístupů oprávnění
- Striktní oddělení rolí, které mají privilegovaný přístup, aby bylo zajištěno, že žádné ID uživatele nemůže provádět citlivé funkce
- Instalace softwaru pro monitorování integrity souborů, který může sloužit také jako detekční mechanismus
- Důsledné dodržování celého PCI DSS
Další informace o osvědčených postupech pro detekci a prevenci, by si lidé měli přečíst celý náš bulletin.
Jak se mohou lidé dozvědět více o tomto typu útoků?