PCI SSC és az ATMIA megosztja az ATM-kifizetések elleni védelemre vonatkozó útmutatásokat és információkat.
Miért adja ki ezt az iparági fenyegetésről szóló közleményt?
Troy Leach: A fizetési közösség számos érintettjétől hallottuk, hogy az ATM “cash-out”-ok világszerte egyre nagyobb aggodalomra adnak okot. Úgy éreztük, hogy a fizetési biztonság vezetőjeként itt az ideje, hogy kiadjunk egy közleményt barátainkkal és kollégáinkkal az ATMIA-tól, akiknek az iparágában jól ismerik ezeket a napi fenyegetéseket.
Mi az ATM Cash-out? Hogyan működnek?
Mike Lee: Alapvetően az ATM “cash-out” támadás egy jól kidolgozott és koreografált támadás, amelyben a bűnözők betörnek egy bankba vagy fizetési kártyafeldolgozóba, és manipulálják a csalásérzékelési ellenőrzéseket, valamint módosítják az ügyfélszámlákat, hogy rövid időn belül számos ATM-ből pénzt lehessen felvenni. A bűnözők gyakran manipulálják az egyenlegeket és a pénzfelvételi korlátokat, hogy lehetővé tegyék az ATM-készpénzfelvételt, amíg az ATM-gépek ki nem ürülnek.
Hogyan működnek pontosan ezek a támadások?
Mike Lee: Egy ATM cash-out támadás gondos tervezést és végrehajtást igényel. Gyakran előfordul, hogy a bűnözői vállalkozás távoli hozzáférést szerez egy kártyakezelő rendszerhez, hogy megváltoztassa a csalásmegelőző ellenőrzéseket, például a veszélyeztetett kártyabirtokosi számlák kifizetési limitjeit vagy PIN-számát. Ez általában úgy történik, hogy rosszindulatú szoftvereket juttatnak be adathalász vagy social engineering módszerekkel a pénzintézet vagy a pénzfeldolgozó rendszereibe. A bűnözői vállalkozás ezután új számlákat hozhat létre, vagy felhasználhatja a kompromittált meglévő számlákat és/vagy a kompromittált betéti/hitelkártyákat szétoszthatja egy csoport ember között, akik összehangolt módon vesznek fel pénzt az ATM-ekből. A kártyakezelő rendszer irányításával a bűnözők manipulálhatják az egyenlegeket és a készpénzfelvételi korlátokat, hogy lehetővé tegyék az ATM-ekből történő készpénzfelvételt, amíg az ATM-ekből ki nem ürül a készpénz. Ezek a támadások általában nem használják ki magának az ATM-nek a sebezhetőségét. Az ATM-et azután használják készpénzfelvételre, miután a kártyakibocsátó engedélyezési rendszerének sebezhetőségeit kihasználták.
Milyen vállalkozásokat veszélyeztet ez a fondorlatos támadás?
Troy Leach: A pénzügyi intézmények és a pénzforgalmi szolgáltatók vannak a legnagyobb pénzügyi kockázatnak kitéve, és valószínűleg ők lesznek a célpontjai ezeknek a nagyszabású, összehangolt támadásoknak. Ezek az intézmények potenciálisan dollármilliókat veszíthetnek el nagyon rövid időn belül, és a világ több régiójában is kitettek lehetnek ennek a rendkívül szervezett, jól megszervezett bűnözői támadásnak az eredményeként.
Melyek azok a legjobb észlelési gyakorlatok, amelyekkel felismerhetők ezek a fenyegetések, mielőtt még kárt okozhatnának?
Troy Leach: Mivel az ATM “cash-out” támadások gyorsan bekövetkezhetnek, és rövid idő alatt dollármilliókat vonhatnak el, kritikus fontosságú, hogy ezeket a fenyegetéseket még azelőtt fel lehessen fedezni, hogy kárt okoznának. Az ilyen típusú támadások észlelésének néhány módja:
- A mögöttes számlák és a volumen gyorsaságának figyelése
- 24/7 felügyeleti képességek, beleértve a fájlintegritást figyelő rendszereket (FIM-ek)
- Reportáló rendszer, amely azonnal riaszt, ha gyanús tevékenységet észlel
- Elképzelés és gyakorlat az incidenskezelési rendszer fejlesztése és gyakorlása
- Váratlan forgalmi források ellenőrzése (pl.pl. IP-címek)
- Hálózati eszközök jogosulatlan futtatásának keresése
Melyek azok a legjobb megelőzési gyakorlatok, amelyekkel megakadályozható, hogy ez a támadás egyáltalán megtörténjen?
Troy Leach: A legjobb védekezés az ATM “kiváltások” elleni enyhítésére az embereket, folyamatokat és technológiát magában foglaló, többszintű védelem elfogadása. Néhány ajánlás az ATM “cash-outs” megelőzésére:
- A rendszerekhez való hozzáférés szigorú ellenőrzése és a harmadik felek kockázatainak azonosítása
- Munkavállalói felügyeleti rendszerek a “belső munka”
- Folyamatos adathalászképzés az alkalmazottak számára
- Multi…faktoros hitelesítés
- Szigorú jelszókezelés
- Hitelesítési/jóváhagyási szintek megkövetelése a számlaegyenlegek és tranzakciós limitek távoli módosításához
- A szükséges biztonsági javítások időben történő (ASAP) bevezetése
- Rendszeres behatolásvizsgálat
- A hozzáférés-ellenőrzési mechanizmusok és a hozzáférés gyakori felülvizsgálata
- A hozzáférés-ellenőrzési mechanizmusok és a hozzáférési korlátok gyakori felülvizsgálata
- . jogosultságok
- A kiváltságos hozzáféréssel rendelkező szerepkörök szigorú elkülönítése annak biztosítása érdekében, hogy egyetlen felhasználói azonosító se végezzen érzékeny funkciókat
- A fájlintegritást figyelő szoftverek telepítése, amelyek felderítési mechanizmusként is szolgálhatnak
- A teljes PCI DSS szigorú betartása
A felderítés és megelőzés legjobb gyakorlataival kapcsolatos további információkért, az embereknek el kell olvasniuk a teljes közleményünket.
Hogyan lehet többet megtudni az ilyen típusú támadásokról?