PCI SSC et ATMIA partagent des conseils et des informations sur la protection contre les encaissements aux guichets automatiques.
Pourquoi émettez-vous ce bulletin de menace pour l’industrie ?
Troy Leach : Nous avons entendu de la part d’un grand nombre de nos parties prenantes dans la communauté des paiements que les » cash-outs » de GAB sont une préoccupation croissante dans le monde entier. Nous avons estimé, en tant que leader de la sécurité des paiements, que le moment était venu de publier un bulletin avec nos amis et collègues de l’ATMIA dont l’industrie est bien consciente de ces menaces quotidiennes.
Qu’est-ce que les encaissements aux guichets automatiques ? Comment fonctionnent-ils ?
Mike Lee : Fondamentalement, une attaque de » cash-out » de GAB est une attaque élaborée et chorégraphiée dans laquelle les criminels pénètrent dans une banque ou un processeur de carte de paiement et manipulent les contrôles de détection des fraudes ainsi que les comptes des clients afin qu’il n’y ait pas de limites pour retirer de l’argent de nombreux GAB dans une courte période de temps. Les criminels manipulent souvent les soldes et les limites de retrait pour permettre les retraits de GAB jusqu’à ce que les distributeurs soient vides d’argent.
Alors, comment fonctionnent exactement ces attaques ?
Mike Lee : Une attaque par encaissement de GAB nécessite une planification et une exécution minutieuses. Souvent, l’entreprise criminelle obtient un accès à distance à un système de gestion des cartes pour modifier les contrôles de prévention de la fraude, tels que les limites de retrait ou le code PIN des comptes des titulaires de cartes compromis. Pour ce faire, elle insère un logiciel malveillant via des méthodes de phishing ou d’ingénierie sociale dans les systèmes d’une institution financière ou d’un processeur de paiement. L’entreprise criminelle peut alors créer de nouveaux comptes ou utiliser des comptes existants compromis et/ou distribuer des cartes de débit/crédit compromises à un groupe de personnes qui effectuent des retraits aux distributeurs automatiques de billets de manière coordonnée. En contrôlant le système de gestion des cartes, les criminels peuvent manipuler les soldes et les limites de retrait afin d’autoriser les retraits aux guichets automatiques jusqu’à ce que ceux-ci soient vides d’argent. Ces attaques n’exploitent généralement pas les vulnérabilités de l’automate lui-même. Le GAB est utilisé pour retirer de l’argent après que les vulnérabilités du système d’autorisation de l’émetteur de la carte aient été exploitées.
Quelles entreprises sont exposées à cette attaque sournoise ?
Troy Leach : Les institutions financières, et les processeurs de paiement sont les plus à risque financièrement et susceptibles d’être la cible de ces attaques coordonnées à grande échelle. Ces institutions risquent de perdre potentiellement des millions de dollars dans un laps de temps très court et peuvent être exposées dans plusieurs régions du monde à la suite de cette attaque criminelle très organisée et bien orchestrée.
Quelles sont les meilleures pratiques de détection pour détecter ces menaces avant qu’elles ne puissent causer des dommages ?
Troy Leach : Étant donné que les attaques de type » cash-out » des ATM peuvent se produire rapidement et drainer des millions de dollars en peu de temps, la capacité de détecter ces menaces avant qu’elles ne puissent causer des dommages est essentielle. Voici quelques moyens de détecter ce type d’attaque :
- Surveillance de la vélocité des comptes et du volume sous-jacents
- Capacités de surveillance 24/7, y compris les systèmes de surveillance de l’intégrité des fichiers (FIM)
- Système de rapport qui sonne l’alarme immédiatement lorsqu’une activité suspecte est identifiée
- Développement et pratique d’un système de gestion de la réponse aux incidents
- Vérification des sources de trafic inattendues (par ex.par exemple les adresses IP)
- Regarder l’exécution non autorisée d’outils réseau
Quelles sont les meilleures pratiques de prévention pour empêcher cette attaque de se produire en premier lieu ?
Troy Leach : La meilleure protection pour atténuer les » encaissements » de GAB est d’adopter une défense à plusieurs niveaux qui comprend les personnes, les processus et la technologie. Voici quelques recommandations pour prévenir les « cash-outs » de GAB :
- Des contrôles d’accès solides à vos systèmes et l’identification des risques liés aux tiers
- Des systèmes de surveillance des employés pour se prémunir contre un » travail de l’intérieur «
- Une formation continue sur le hameçonnage pour les employés
- L’authentification à facteurs multiples.facteurs
- Gestion rigoureuse des mots de passe
- Exiger des niveaux d’authentification/approbation pour les modifications à distance des soldes de comptes et des limites de transactions
- Mise en œuvre des correctifs de sécurité requis en temps opportun (ASAP)
- Tests de pénétration réguliers
- Examens fréquents des mécanismes de contrôle d’accès et des privilèges d’accès
- . privilèges
- Séparation stricte des rôles qui ont un accès privilégié pour s’assurer qu’aucun ID utilisateur ne peut exécuter des fonctions sensibles
- Installation d’un logiciel de surveillance de l’intégrité des fichiers qui peut également servir de mécanisme de détection
- Stricte adhésion à l’ensemble du PCI DSS
Pour plus d’informations sur les meilleures pratiques de détection et de prévention, les gens devraient consulter notre bulletin complet.
Comment les gens peuvent-ils en apprendre davantage sur ce type d’attaques ?