PCI SSC ja ATMIA jakavat ohjeita ja tietoa pankkiautomaattien käteisnostoilta suojautumisesta.
Miksi julkaisette tämän alan uhkatiedotteen?
Troy Leach: Olemme kuulleet monilta maksuyhteisön sidosryhmiltämme, että pankkiautomaattien ”käteisnostot” ovat kasvava huolenaihe kaikkialla maailmassa. Katsoimme, että maksujen turvallisuuden johtavana toimijana nyt oli aika julkaista tiedote yhdessä ystäviemme ja kollegojemme kanssa ATMIA:sta, jonka toimiala on hyvin tietoinen näistä päivittäisistä uhkista.
Mitä ovat pankkiautomaattien käteisnostot? Miten ne toimivat?
Mike Lee: Periaatteessa pankkiautomaatti-”cash-out”-hyökkäys on monimutkainen ja suunnitelmallinen hyökkäys, jossa rikolliset murtautuvat pankkiin tai maksukorttiprosessoriin ja manipuloivat petostentunnistusvalvontoja sekä muuttavat asiakastilejä niin, että rahan nostamiselle lukuisista pankkiautomaateista lyhyessä ajassa ei ole rajoituksia. Rikolliset manipuloivat usein saldoja ja nostorajoja, jotta pankkiautomaattien nostot ovat mahdollisia, kunnes pankkiautomaatit ovat tyhjiä käteisestä.
Miten nämä hyökkäykset tarkalleen ottaen toimivat?
Mike Lee: Pankkiautomaattien käteisnostohyökkäys vaatii huolellista suunnittelua ja toteutusta. Usein rikollisyritys saa etäyhteyden kortinhallintajärjestelmään muuttaakseen petostentorjuntakontrolleja, kuten nostorajoja tai vaarannettujen kortinhaltijatilien PIN-numeroita. Tämä tehdään yleensä lisäämällä haittaohjelma phishing- tai social engineering -menetelmien avulla rahoituslaitoksen tai maksuprosessorin järjestelmiin. Rikollisyritys voi sitten luoda uusia tilejä tai käyttää vaarannettuja olemassa olevia tilejä ja/tai jakaa vaarannettuja pankki- tai luottokortteja ryhmälle henkilöitä, jotka tekevät nostoja pankkiautomaateista koordinoidusti. Kun rikolliset hallitsevat kortinhallintajärjestelmää, he voivat manipuloida saldoja ja nostorajoja niin, että pankkiautomaattien nostot sallitaan niin kauan, kunnes käteinen on tyhjä automaateista. Näissä hyökkäyksissä ei yleensä hyödynnetä itse pankkiautomaatissa olevia haavoittuvuuksia. Pankkiautomaattia käytetään käteisen nostamiseen sen jälkeen, kun kortin myöntäjän lupajärjestelmän haavoittuvuuksia on hyödynnetty.
Mitkä yritykset ovat vaarassa joutua alttiiksi tälle katalalle hyökkäykselle?
Troy Leach: Rahoituslaitokset ja maksuprosessorit ovat suurimmassa taloudellisessa vaarassa ja todennäköisesti näiden laajamittaisten, koordinoitujen hyökkäysten kohteena. Nämä laitokset voivat mahdollisesti menettää miljoonia dollareita hyvin lyhyessä ajassa, ja ne voivat joutua alttiiksi useilla alueilla eri puolilla maailmaa tämän erittäin hyvin organisoidun ja hyvin järjestetyn rikollisen hyökkäyksen seurauksena.
Mitkä ovat joitakin parhaita havaitsemiskäytäntöjä, joiden avulla nämä uhat voidaan havaita ennen kuin ne voivat aiheuttaa vahinkoa?
Troy Leach: Koska pankkiautomaattien ”cash-out”-hyökkäykset voivat tapahtua nopeasti ja viedä miljoonia dollareita lyhyessä ajassa, kyky havaita nämä uhat ennen kuin ne voivat aiheuttaa vahinkoa on ratkaisevan tärkeää. Joitakin tapoja havaita tämäntyyppiset hyökkäykset ovat:
- Tilien taustalla olevien tilien ja volyymin nopeusvalvonta
- Ympäri vuorokauden käytettävissä olevat valvontaominaisuudet, mukaan lukien tiedostojen eheyden valvontajärjestelmät (File Integrity Monitoring Systems, FIM:t)
- Raportointijärjestelmä, joka hälyttää välittömästi, kun epäilyttävää toimintaa havaitaan
- Välikohtauksiin reagoimisen hallinnointijärjestelmän (Incident Response Management System, VISMJO)
- Uudentamattomien tietoliikennelähteiden tarkistaminen (esim.esim. IP-osoitteet)
- Verkkotyökalujen luvattoman suorittamisen etsiminen
Mitkä ovat parhaita ennaltaehkäisykäytäntöjä, joilla voidaan estää tämän hyökkäyksen tapahtuminen alun perin?
Troy Leach: Paras suojautumiskeino pankkiautomaattien ”käteisvarkauksia” vastaan on ottaa käyttöön monikerroksinen puolustus, johon kuuluu ihmisiä, prosesseja ja teknologiaa. Joitakin suosituksia pankkiautomaattien ”käteisnostojen” estämiseksi ovat muun muassa seuraavat:
- Turvalliset pääsynvalvontamekanismit järjestelmiin ja kolmansien osapuolten riskien tunnistaminen
- Työntekijöiden valvontajärjestelmät ”sisäpiirin työn” estämiseksi
- Jatkuva phishing-koulutus työntekijöille
- Monipuolinen…tekijä todennus
- Tiheä salasanojen hallinta
- Tilien saldojen ja tapahtumarajojen etämuutosten todennus-/hyväksyntäkerrosten vaatiminen
- Tarvittujen tietoturvakorjausten käyttöönotto ajoissa (ASAP)
- Säännöllinen tunkeutumistestaus
- Käytönvalvontamekanismien ja käyttövaltuuksien säännöllinen tarkistaminen. etuoikeudet
- Tarkka erottelu rooleihin, joilla on etuoikeutettu käyttöoikeus, sen varmistamiseksi, että yksikään käyttäjätunnus ei voi suorittaa arkaluonteisia toimintoja
- Tiedostojen eheyden valvontaohjelmiston asentaminen, joka voi toimia myös havaintomekanismina
- Tarkka PCI DSS:n kokonaisvaltainen noudattaminen
Lisätietoa havaitsemisen ja ennaltaehkäisyn parhaista käytänteistä, ihmisten tulisi tutustua koko tiedotteeseemme.
Miten ihmiset voivat oppia lisää tällaisista hyökkäyksistä?