PCI SSC y ATMIA comparten orientación e información sobre la protección contra los retiros de dinero de los cajeros automáticos.
¿Por qué emiten este boletín de amenazas del sector?
Troy Leach: Hemos escuchado de muchas de nuestras partes interesadas en la comunidad de pagos que los «cash-outs» de los cajeros automáticos son una preocupación creciente en todo el mundo. Pensamos que, como líderes en seguridad de pagos, era el momento de emitir un boletín con nuestros amigos y colegas de la ATMIA, cuyo sector es muy consciente de estas amenazas diarias.
¿Qué son los «cash-outs» de los cajeros automáticos? ¿Cómo funcionan?
Mike Lee: Básicamente, un ataque de «cash-out» en cajeros automáticos es un ataque elaborado y coreografiado en el que los delincuentes entran en un banco o en un procesador de tarjetas de pago y manipulan los controles de detección de fraudes, además de alterar las cuentas de los clientes para que no haya límites para retirar dinero de numerosos cajeros automáticos en un corto período de tiempo. Los delincuentes suelen manipular los saldos y los límites de retirada para permitir la retirada de dinero de los cajeros automáticos hasta que éstos se queden vacíos de efectivo.
¿Y cómo funcionan exactamente estos ataques?
Mike Lee: Un ataque de retirada de dinero de los cajeros automáticos requiere una cuidadosa planificación y ejecución. A menudo, la empresa criminal obtiene acceso remoto a un sistema de gestión de tarjetas para alterar los controles de prevención del fraude, como los límites de retirada o el número de PIN de las cuentas de los titulares de tarjetas comprometidas. Esto se suele hacer insertando malware a través de métodos de phishing o ingeniería social en los sistemas de una institución financiera o de un procesador de pagos. La empresa criminal puede entonces crear nuevas cuentas o utilizar las cuentas existentes comprometidas y/o distribuir las tarjetas de débito/crédito comprometidas a un grupo de personas que realizan extracciones en los cajeros automáticos de forma coordinada. Con el control del sistema de gestión de tarjetas, los delincuentes pueden manipular los saldos y los límites de retirada de fondos para permitir las retiradas en los cajeros automáticos hasta que éstos se queden vacíos de efectivo. Estos ataques no suelen aprovechar las vulnerabilidades del propio cajero automático. El cajero automático se utiliza para retirar dinero después de que se hayan explotado las vulnerabilidades del sistema de autorización del emisor de la tarjeta.
¿Qué empresas corren el riesgo de sufrir este artero ataque?
Troy Leach: Las instituciones financieras y los procesadores de pagos son los que corren un mayor riesgo financiero y probablemente sean el objetivo de estos ataques coordinados a gran escala. Estas instituciones pueden perder millones de dólares en un período de tiempo muy corto y pueden estar expuestas en múltiples regiones de todo el mundo como resultado de este ataque criminal altamente organizado y bien orquestado.
¿Cuáles son algunas de las mejores prácticas de detección para detectar estas amenazas antes de que puedan causar daños?
Troy Leach: Dado que los ataques de «cash-out» en cajeros automáticos pueden ocurrir rápidamente y drenar millones de dólares en un corto período de tiempo, la capacidad de detectar estas amenazas antes de que puedan causar daños es fundamental. Algunas formas de detectar este tipo de ataques son:
- Supervisión de la velocidad de las cuentas subyacentes y del volumen
- Capacidades de supervisión 24 horas al día, 7 días a la semana, incluidos los sistemas de supervisión de la integridad de los archivos (FIM)
- Sistema de notificación que haga sonar la alarma inmediatamente cuando se identifique una actividad sospechosa
- Desarrollo y puesta en práctica de un sistema de gestión de respuesta a incidentes
- Comprobación de fuentes de tráfico inesperadas (por ej.por ejemplo, direcciones IP)
- Buscar la ejecución no autorizada de herramientas de red
¿Cuáles son algunas de las mejores prácticas de prevención para evitar que este ataque se produzca en primer lugar?
Troy Leach: La mejor protección para mitigar los «cash-outs» de los cajeros automáticos es adoptar una defensa en capas que incluya personas, procesos y tecnología. Algunas recomendaciones para evitar los «cash-outs» de los cajeros automáticos son:
- Fuertes controles de acceso a sus sistemas e identificación de riesgos de terceros
- Sistemas de supervisión de los empleados para protegerse de un «trabajo interno»
- Formación continua sobre phishing para los empleados
- Autenticación de múltiples factores
- .de autenticación
- Gestión estricta de contraseñas
- Exigir niveles de autenticación/aprobación para los cambios remotos de los saldos de las cuentas y los límites de las transacciones
- Implementación de los parches de seguridad necesarios de manera oportuna (ASAP)
- Pruebas de penetración periódicas
- Revisiones frecuentes de los mecanismos de control de acceso y los privilegios de acceso privilegios
- Separación estricta de los roles que tienen acceso privilegiado para asegurar que ningún ID de usuario pueda realizar funciones sensibles
- Instalación de software de monitorización de la integridad de los archivos que también pueda servir como mecanismo de detección
- Adhesión estricta a toda la PCI DSS
Para más información sobre las mejores prácticas de detección y prevención, la gente debe revisar nuestro boletín completo.
¿Cómo puede la gente aprender más sobre este tipo de ataques?