PCI SSC og ATMIA deler vejledning og oplysninger om beskyttelse mod udbetalinger fra hæveautomater.
Hvorfor udsender du denne branchebulletin om trusler?
Troy Leach: Vi har hørt fra mange af vores interessenter i betalingsmiljøet, at ATM “cash-outs” er en voksende bekymring over hele verden. Som førende inden for betalingssikkerhed følte vi, at tiden nu var inde til at udsende en bulletin sammen med vores venner og kolleger fra ATMIA, hvis branche er velvidende om disse daglige trusler.
Hvad er ATM Cash-outs? Hvordan virker de?
Mike Lee: Grundlæggende er et ATM “cash-out”-angreb et udspekuleret og koreograferet angreb, hvor kriminelle bryder ind i en bank eller betalingskortprocessor og manipulerer kontrolforanstaltninger til afsløring af svig samt ændrer kundernes konti, så der ikke er nogen grænser for at hæve penge fra mange pengeautomater på kort tid. Kriminelle manipulerer ofte med saldi og udbetalingsgrænser for at tillade hævning af penge i pengeautomater, indtil automaterne er tomme for kontanter.
Så hvordan fungerer disse angreb helt præcist?
Mike Lee: Et cash-out-angreb på pengeautomater kræver omhyggelig planlægning og udførelse. Ofte får den kriminelle virksomhed fjernadgang til et kortstyringssystem for at ændre kontrolforanstaltningerne til forebyggelse af svig som f.eks. udbetalingsgrænser eller pinkode for kompromitterede kortindehaverkonti. Dette gøres almindeligvis ved at indsætte malware via phishing- eller social engineering-metoder i en finansiel institution eller en betalingsformidler. Den kriminelle virksomhed kan derefter oprette nye konti eller anvende kompromitterede eksisterende konti og/eller distribuere kompromitterede debet-/kreditkort til en gruppe af personer, som koordineret foretager udbetalinger i pengeautomater. Med kontrol over kortstyringssystemet kan de kriminelle manipulere saldoen og hævegrænserne for at tillade hævning af penge i pengeautomater, indtil automaterne er tomme for kontanter. Disse angreb udnytter normalt ikke sårbarheder i selve pengeautomaten. Pengeautomaten bruges til at hæve kontanter, efter at sårbarheder i kortudstederens godkendelsessystem er blevet udnyttet.
Hvilke virksomheder er i fare for at blive udsat for dette lusede angreb?
Troy Leach: Det er finansielle institutioner og betalingsformidlere, der er mest udsat for økonomisk risiko og sandsynligvis vil være målet for disse storstilede, koordinerede angreb. Disse institutioner kan potentielt miste millioner af dollars på meget kort tid og kan være udsat i flere regioner rundt om i verden som følge af dette højt organiserede, velorganiserede kriminelle angreb.
Hvad er nogle af de bedste metoder til at opdage disse trusler, før de kan forårsage skade?
Troy Leach: Da “cash-out”-angreb på hæveautomater kan ske hurtigt og dræne millioner af dollars på kort tid, er evnen til at opdage disse trusler, før de kan forårsage skade, afgørende. Nogle måder at opdage denne type angreb på er:
- Velocity overvågning af underliggende konti og volumen
- 24/7 overvågningsfunktioner, herunder File Integrity Monitoring Systems (FIMs)
- Rapporteringssystem, der slår alarm med det samme, når mistænkelig aktivitet identificeres
- Udvikling og praktisering af et incident response management system
- Kontrol af uventede trafikkilder (f.eks.f.eks. IP-adresser)
- Se efter uautoriseret udførelse af netværksværktøjer
Hvad er nogle af de bedste metoder til forebyggelse for at forhindre, at dette angreb overhovedet finder sted?
Troy Leach: Den bedste beskyttelse mod “cash-outs” af pengeautomater er at indføre et lagdelt forsvar, der omfatter mennesker, processer og teknologi. Nogle anbefalinger til at forhindre ATM “cash-outs” omfatter:
- Stærke adgangskontroller til dine systemer og identifikation af risici fra tredjeparter
- Medarbejderovervågningssystemer for at beskytte mod et “insiderjob”
- Kontinuerlig phishing-træning for medarbejdere
- Multi-faktor-autentifikation
- Kraftig adgangskodeforvaltning
- Kræv flere lag af autentifikation/godkendelse for fjernændringer af kontosaldi og transaktionsgrænser
- Implementering af nødvendige sikkerhedsrettelser rettidigt (ASAP)
- Regelmæssig penetrationstestning
- Hyppige gennemgange af adgangskontrolmekanismer og adgangsrettigheder
- Hyppige gennemgange af adgangskontrolmekanismer og adgang privilegier
- Striks adskillelse af roller, der har privilegeret adgang, for at sikre, at ikke ét bruger-id kan udføre følsomme funktioner
- Installation af software til overvågning af filintegritet, der også kan fungere som en detektionsmekanisme
- Striks overholdelse af hele PCI DSS
For yderligere oplysninger om bedste praksis for detektion og forebyggelse, bør folk læse hele vores bulletin.
Hvordan kan folk få mere at vide om denne type angreb?