PCI SSC und ATMIA geben Hinweise und Informationen zum Schutz vor ATM Cash-Outs.
Warum geben Sie dieses Bulletin über die Bedrohung der Branche heraus?
Troy Leach: Wir haben von vielen unserer Stakeholder in der Zahlungsverkehrsgemeinschaft gehört, dass „Cash-outs“ an Geldautomaten weltweit ein wachsendes Problem darstellen. Als führendes Unternehmen auf dem Gebiet der Sicherheit im Zahlungsverkehr waren wir der Meinung, dass es jetzt an der Zeit ist, gemeinsam mit unseren Freunden und Kollegen von der ATMIA, deren Branche sich dieser täglichen Bedrohung sehr wohl bewusst ist, ein Bulletin herauszugeben.
Was sind ATM-Cash-outs? Wie funktionieren sie?
Mike Lee: Grundsätzlich handelt es sich bei einem „Cash-Out“-Angriff auf Geldautomaten um einen ausgeklügelten und choreografierten Angriff, bei dem Kriminelle in eine Bank oder einen Zahlungskartenverarbeiter eindringen und die Betrugserkennungskontrollen manipulieren sowie die Kundenkonten so verändern, dass es keine Limits gibt, um in kurzer Zeit an zahlreichen Geldautomaten Geld abzuheben. Die Kriminellen manipulieren oft Kontostände und Abhebungslimits, um Geldabhebungen an Geldautomaten zu ermöglichen, bis die Automaten leer sind.
Wie genau funktionieren diese Angriffe?
Mike Lee: Ein Angriff auf Geldautomaten erfordert eine sorgfältige Planung und Ausführung. Häufig verschafft sich das kriminelle Unternehmen Fernzugriff auf ein Kartenverwaltungssystem, um die Betrugsverhinderungskontrollen wie Abhebungslimits oder PIN-Nummern von kompromittierten Karteninhaberkonten zu ändern. Dies geschieht in der Regel durch Einschleusen von Schadsoftware über Phishing- oder Social-Engineering-Methoden in die Systeme eines Finanzinstituts oder eines Zahlungsdienstleisters. Das kriminelle Unternehmen kann dann neue Konten einrichten oder kompromittierte bestehende Konten nutzen und/oder kompromittierte Debit-/Kreditkarten an eine Gruppe von Personen verteilen, die in koordinierter Weise Abhebungen an Geldautomaten vornehmen. Mit der Kontrolle über das Kartenverwaltungssystem können die Kriminellen Guthaben und Abhebungslimits manipulieren, um Abhebungen an Geldautomaten zu ermöglichen, bis die Automaten leer sind. Bei diesen Angriffen werden in der Regel keine Schwachstellen im Geldautomaten selbst ausgenutzt. Der Geldautomat wird zum Abheben von Bargeld verwendet, nachdem Schwachstellen im Autorisierungssystem des Kartenausstellers ausgenutzt wurden.
Welche Unternehmen sind durch diesen hinterhältigen Angriff gefährdet?
Troy Leach: Finanzinstitute und Zahlungsabwickler sind finanziell am meisten gefährdet und werden wahrscheinlich das Ziel dieser groß angelegten, koordinierten Angriffe sein. Diese Institutionen können innerhalb kürzester Zeit Millionen von Dollar verlieren und in mehreren Regionen der Welt durch diese gut organisierten, gut orchestrierten kriminellen Angriffe gefährdet sein.
Was sind die besten Methoden, um diese Bedrohungen zu erkennen, bevor sie Schaden anrichten können?
Troy Leach: Da „Cash-Out“-Angriffe auf Geldautomaten schnell geschehen und in kurzer Zeit Millionen von Dollar abziehen können, ist die Fähigkeit, diese Bedrohungen zu erkennen, bevor sie Schaden anrichten können, von entscheidender Bedeutung. Einige Möglichkeiten, diese Art von Angriffen zu erkennen, sind:
- Überwachung der zugrunde liegenden Konten und des Volumens
- Überwachungsmöglichkeiten rund um die Uhr, einschließlich File Integrity Monitoring Systems (FIMs)
- Berichtssystem, das sofort Alarm schlägt, wenn verdächtige Aktivitäten festgestellt werden
- Entwicklung und Anwendung eines Incident Response Management Systems
- Überprüfung auf unerwartete Verkehrsquellen (z.z.B. IP-Adressen)
- Untersuchen Sie die unbefugte Ausführung von Netzwerktools
Was sind einige bewährte Präventionsverfahren, um diesen Angriff von vornherein zu verhindern?
Troy Leach: Der beste Schutz gegen Geldautomaten-„Cash-Outs“ ist eine mehrschichtige Verteidigung, die Menschen, Prozesse und Technologie umfasst. Einige Empfehlungen zur Verhinderung von Geldautomaten-„Cash-outs“ umfassen:
- Starke Zugangskontrollen zu Ihren Systemen und Identifizierung von Risiken durch Dritte
- Überwachungssysteme für Mitarbeiter zum Schutz vor einem „Insider-Job“
- Kontinuierliche Phishing-Schulungen für Mitarbeiter
- Multi-Faktor-Authentifizierung
- Starke Passwortverwaltung
- Erforderliche Authentifizierungs-/Genehmigungsebenen für Fernänderungen von Kontoständen und Transaktionslimits
- Zeitnahe Implementierung erforderlicher Sicherheits-Patches (ASAP)
- Reguläre Penetrationstests
- Häufige Überprüfung von Zugriffskontrollmechanismen und Zugriffs Privilegien
- Strenge Trennung von Rollen mit privilegiertem Zugriff, um sicherzustellen, dass nicht eine einzige Benutzer-ID sensible Funktionen ausführen kann
- Installation von Software zur Überwachung der Dateiintegrität, die auch als Erkennungsmechanismus dienen kann
- Strenge Einhaltung des gesamten PCI DSS
Weitere Informationen über bewährte Verfahren zur Erkennung und Vorbeugung, sollten Sie unser vollständiges Bulletin lesen.
Wie kann man mehr über diese Art von Angriffen erfahren?