PCI SSC e ATMIA condividono indicazioni e informazioni sulla protezione dai Cash-out ATM.
Perché state pubblicando questo bollettino sulle minacce all’industria?
Troy Leach: Abbiamo sentito da molte delle nostre parti interessate nella comunità dei pagamenti che i “cash-out” degli ATM sono una preoccupazione crescente in tutto il mondo. Abbiamo sentito, come leader nella sicurezza dei pagamenti, che era il momento di emettere un bollettino con i nostri amici e colleghi dell’ATMIA, il cui settore è ben consapevole di queste minacce quotidiane.
Che cosa sono gli ATM Cash-outs? Come funzionano?
Mike Lee: Fondamentalmente un attacco ATM “cash-out” è un attacco elaborato e coreografato in cui i criminali violano una banca o un processore di carte di pagamento e manipolano i controlli di rilevamento delle frodi e alterano i conti dei clienti in modo che non ci siano limiti per prelevare denaro da numerosi ATM in un breve periodo di tempo. I criminali spesso manipolano i saldi e i limiti di prelievo per permettere i prelievi dal bancomat fino a quando le macchine ATM sono vuote di contanti.
Come funzionano esattamente questi attacchi?
Mike Lee: Un attacco ATM cash-out richiede un’attenta pianificazione ed esecuzione. Spesso, l’impresa criminale ottiene l’accesso remoto a un sistema di gestione delle carte per alterare i controlli di prevenzione delle frodi come i limiti di prelievo o il numero di PIN dei conti dei titolari di carta compromessi. Questo è comunemente fatto inserendo malware tramite phishing o metodi di ingegneria sociale in un istituto finanziario o nei sistemi di elaborazione dei pagamenti. L’impresa criminale può quindi creare nuovi conti o utilizzare conti esistenti compromessi e/o distribuire carte di debito/credito compromesse a un gruppo di persone che effettuano prelievi ai bancomat in modo coordinato. Con il controllo del sistema di gestione delle carte, i criminali possono manipolare i saldi e i limiti di prelievo per permettere i prelievi agli ATM fino a quando le macchine ATM sono vuote di contanti. Questi attacchi di solito non sfruttano le vulnerabilità del bancomat stesso. Il bancomat viene usato per prelevare contanti dopo che sono state sfruttate le vulnerabilità nel sistema di autorizzazione dell’emittente della carta.
Quali aziende sono a rischio di questo attacco subdolo?
Troy Leach: Le istituzioni finanziarie e i processori di pagamento sono i più a rischio finanziario e probabilmente l’obiettivo di questi attacchi coordinati su larga scala. Queste istituzioni sono potenzialmente in grado di perdere milioni di dollari in un periodo di tempo molto breve e possono avere un’esposizione in più regioni del mondo come risultato di questo attacco criminale altamente organizzato e ben orchestrato.
Quali sono le migliori pratiche di rilevamento per individuare queste minacce prima che possano causare danni?
Troy Leach: Poiché gli attacchi ATM “cash-out” possono avvenire rapidamente e prosciugare milioni di dollari in un breve periodo di tempo, la capacità di rilevare queste minacce prima che possano causare danni è fondamentale. Alcuni modi per rilevare questo tipo di attacco sono:
- Monitoraggio della velocità dei conti sottostanti e del volume
- Capacità di monitoraggio 24 ore su 24, 7 giorni su 7, compresi i sistemi di monitoraggio dell’integrità dei file (FIMs)
- Sistema di segnalazione che suona l’allarme immediatamente quando viene identificata un’attività sospetta
- Sviluppo e pratica di un sistema di gestione della risposta agli incidenti
- Controllo delle fonti di traffico inaspettato (es.
- Cercare l’esecuzione non autorizzata di strumenti di rete
Quali sono le migliori pratiche di prevenzione per impedire che questo attacco avvenga in primo luogo?
Troy Leach: La migliore protezione per mitigare i “cash-out” dei bancomat è quella di adottare una difesa a strati che include persone, processi e tecnologia. Alcune raccomandazioni per prevenire i “cash-out” dei bancomat includono:
- forte controllo degli accessi ai vostri sistemi e identificazione dei rischi di terze parti
- Sistemi di monitoraggio dei dipendenti per proteggersi da un “lavoro interno”
- Formazione continua sul phishing per i dipendenti
- Autenticazione a più fattorifattore di autenticazione
- Gestione rigorosa delle password
- Richiede livelli di autenticazione/approvazione per le modifiche a distanza dei saldi dei conti e dei limiti delle transazioni
- Implementazione delle patch di sicurezza richieste in modo tempestivo (ASAP)
- Test di penetrazione regolari
- Revisioni frequenti dei meccanismi di controllo di accesso e dei privilegi
- Separazione rigorosa dei ruoli che hanno accesso privilegiato per garantire che nessun ID utente possa eseguire funzioni sensibili
- Installazione di software di monitoraggio dell’integrità dei file che può servire anche come meccanismo di rilevamento
- Aderenza rigorosa all’intero PCI DSS
Per ulteriori informazioni sulle migliori pratiche di rilevamento e prevenzione, le persone dovrebbero rivedere il nostro bollettino completo.
Come possono le persone saperne di più su questo tipo di attacchi?