PCI SSC en ATMIA delen richtsnoeren en informatie over de bescherming tegen cash-outs bij geldautomaten.
Waarom publiceert u dit dreigingsbulletin voor de sector?
Troy Leach: We hebben gehoord van veel van onze belanghebbenden in de betaling gemeenschap dat ATM “cash-outs” zijn een groeiende zorg over de hele wereld. Als leider op het gebied van betalingsbeveiliging vonden we dat het nu tijd was om een bulletin uit te brengen met onze vrienden en collega’s van de ATMIA, wier sector zich terdege bewust is van deze dagelijkse bedreigingen.
Wat zijn ATM Cash-outs? Hoe werken ze?
Mike Lee: In principe is een ATM “cash-out” aanval een uitgebreide en gechoreografeerde aanval waarbij criminelen een bank of betaalkaartprocessor binnendringen en de fraudedetectiecontroles manipuleren, evenals klantrekeningen wijzigen zodat er geen limieten zijn om geld op te nemen uit een groot aantal geldautomaten in een korte periode van tijd. Criminelen manipuleren vaak saldi en opnamelimieten om geldopnames uit geldautomaten mogelijk te maken totdat de geldautomaten leeg zijn.
Dus hoe werken deze aanvallen precies?
Mike Lee: Een ATM-cash-out-aanval vereist zorgvuldige planning en uitvoering. Vaak krijgt de criminele onderneming op afstand toegang tot een kaartbeheersysteem om de fraudepreventiecontroles te wijzigen, zoals de opnamelimieten of het PIN-nummer van gecompromitteerde kaarthouderrekeningen. Dit wordt meestal gedaan door malware via phishing of social engineering in de systemen van een financiële instelling of betalingsverwerker in te voeren. De criminele onderneming kan dan nieuwe rekeningen openen of gecompromitteerde bestaande rekeningen gebruiken en/of gecompromitteerde debet-/creditkaarten verspreiden onder een groep mensen die op een gecoördineerde manier geld opnemen bij geldautomaten. Met de controle over het kaartbeheersysteem kunnen criminelen saldi en opnamelimieten manipuleren om geldopnames bij geldautomaten mogelijk te maken totdat de geldautomaten leeg zijn. Bij deze aanvallen wordt meestal geen gebruik gemaakt van zwakke plekken in de geldautomaat zelf. De geldautomaat wordt gebruikt om geld op te nemen nadat zwakke plekken in het autorisatiesysteem van de kaartuitgever zijn misbruikt.
Welke bedrijven lopen het risico van deze slinkse aanval?
Troy Leach: Financiële instellingen en betalingsverwerkers lopen het grootste financiële risico en zijn waarschijnlijk het doelwit van deze grootschalige, gecoördineerde aanvallen. Deze instellingen kunnen in zeer korte tijd miljoenen dollars verliezen en in meerdere regio’s over de hele wereld blootgesteld worden aan deze zeer georganiseerde, goed georkestreerde criminele aanval.
Wat zijn enkele beste praktijken voor detectie om deze bedreigingen te detecteren voordat ze schade kunnen aanrichten?
Troy Leach: Aangezien ATM “cash-out” -aanvallen snel kunnen plaatsvinden en in korte tijd miljoenen dollars kunnen aftappen, is het vermogen om deze bedreigingen te detecteren voordat ze schade kunnen veroorzaken van cruciaal belang. Enkele manieren om dit soort aanvallen te detecteren zijn:
- Velocity monitoring van onderliggende accounts en volume
- 24/7 monitoringmogelijkheden, waaronder File Integrity Monitoring Systems (FIM’s)
- Rapporteringssysteem dat onmiddellijk alarm slaat wanneer verdachte activiteit wordt geïdentificeerd
- Ontwikkeling en praktijk van een incident response managementsysteem
- Controle op onverwachte verkeersbronnen (bijv.b.v. IP-adressen)
- Kijk naar ongeautoriseerde uitvoering van netwerktools
Wat zijn enkele preventieve best practices om deze aanval in de eerste plaats te voorkomen?
Troy Leach: De beste bescherming tegen ATM “cash-outs” is het aannemen van een gelaagde verdediging die mensen, processen en technologie omvat. Enkele aanbevelingen om ATM “cash-outs” te voorkomen zijn:
- Sterke toegangscontrole tot uw systemen en identificatie van risico’s voor derden
- Werknemersmonitoringsystemen om te waken tegen een “inside job”
- Continue phishing-training voor werknemers
- Multi-factor authenticatie
- Sterk wachtwoordbeheer
- Eisen van lagen van authenticatie/goedkeuring voor wijzigingen op afstand van rekeningsaldi en transactielimieten
- Invoering van vereiste beveiligingspatches op tijd (ASAP)
- Reguliere penetratietests
- Verscheidene beoordelingen van toegangscontrolemechanismen en toegangs privileges
- Strikte scheiding van rollen met geprivilegieerde toegang om ervoor te zorgen dat geen enkele gebruikers-ID gevoelige functies kan uitvoeren
- Installatie van software voor bestandsintegriteitsbewaking die ook als detectiemechanisme kan dienen
- Strikte naleving van de volledige PCI DSS
Voor meer informatie over best practices voor detectie en preventie, moeten mensen ons volledige bulletin lezen.
Hoe kunnen mensen meer over dit soort aanvallen te weten komen?