PCI SSC i ATMIA dzielą się wskazówkami i informacjami na temat ochrony przed bankomatami Cash-Out.
Dlaczego wydaliście ten biuletyn o zagrożeniach dla branży?
Troy Leach: Od wielu naszych interesariuszy w społeczności płatniczej słyszeliśmy, że „cash-out” z bankomatów jest coraz większym problemem na całym świecie. Uznaliśmy, że jako lider w dziedzinie bezpieczeństwa płatności, nadszedł czas, aby wydać biuletyn wraz z naszymi przyjaciółmi i kolegami z ATMIA, których branża jest świadoma tych codziennych zagrożeń.
Co to są ATM Cash-outs? Jak to działa? Mike Lee: Atak typu cash-out w bankomacie to skomplikowany atak, w którym przestępcy włamują się do banku lub procesora kart płatniczych i manipulują systemami wykrywania nadużyć, a także zmieniają konta klientów tak, aby nie było limitów wypłat pieniędzy z wielu bankomatów w krótkim czasie. Przestępcy często manipulują saldami i limitami wypłat, aby umożliwić wypłaty z bankomatów aż do momentu, gdy automaty zostaną opróżnione z gotówki.
Jak dokładnie działają te ataki?
Mike Lee: Atak typu cash-out w bankomatach wymaga dokładnego zaplanowania i wykonania. Często przedsiębiorstwo przestępcze uzyskuje zdalny dostęp do systemu zarządzania kartami, aby zmienić mechanizmy zapobiegające oszustwom, takie jak limity wypłat lub numery PIN do kont zagrożonych posiadaczy kart. Zazwyczaj odbywa się to poprzez wprowadzenie do systemów instytucji finansowej lub procesora płatniczego złośliwego oprogramowania za pomocą phishingu lub metod inżynierii społecznej. Przedsiębiorstwo przestępcze może wówczas tworzyć nowe konta lub korzystać ze skompromitowanych kont istniejących i/lub rozprowadzać skompromitowane karty debetowe/kredytowe wśród grupy osób, które w skoordynowany sposób dokonują wypłat w bankomatach. Mając kontrolę nad systemem zarządzania kartami, przestępcy mogą manipulować saldami i limitami wypłat w celu umożliwienia wypłat z bankomatów aż do momentu, gdy bankomaty będą pozbawione gotówki. Ataki te zazwyczaj nie wykorzystują luk w samym bankomacie. Bankomat jest wykorzystywany do wypłaty gotówki po wykorzystaniu luk w systemie autoryzacji wydawcy karty.
Jakie firmy są narażone na ryzyko tego przebiegłego ataku?
Troy Leach: Instytucje finansowe i procesory płatnicze są najbardziej narażone na ryzyko finansowe i prawdopodobnie staną się celem tych zakrojonych na szeroką skalę, skoordynowanych ataków. Instytucje te mogą potencjalnie stracić miliony dolarów w bardzo krótkim czasie i mogą być narażone w wielu regionach na całym świecie w wyniku tego wysoce zorganizowanego, dobrze zaplanowanego ataku przestępczego.
Jakie są najlepsze praktyki wykrywania tych zagrożeń zanim zdążą wyrządzić szkody?
Troy Leach: Ponieważ ataki typu „cash-out” na bankomaty mogą nastąpić szybko i w krótkim czasie spowodować wypłatę milionów dolarów, zdolność do wykrywania takich zagrożeń zanim spowodują one szkody ma kluczowe znaczenie. Niektóre sposoby wykrywania tego typu ataków to:
- Velocity monitoring kont bazowych i wolumenu
- Możliwości monitorowania 24/7, w tym systemy monitorowania integralności plików (FIM)
- System raportowania, który natychmiast włącza alarm, gdy zostanie zidentyfikowana podejrzana aktywność
- Rozwój i praktyka systemu zarządzania reakcją na incydenty
- Sprawdzanie nieoczekiwanych źródeł ruchu (np. adresów IP)
- Sprawdzanie nieoczekiwanych źródeł ruchu (np.Adresy IP)
- Sprawdzanie pod kątem nieautoryzowanego wykonywania narzędzi sieciowych
Jakie są najlepsze praktyki prewencyjne, które zapobiegają takim atakom?
Troy Leach: Najlepszą ochroną przed „cash-outami” z bankomatów jest przyjęcie wielowarstwowej obrony, która obejmuje ludzi, procesy i technologię. Niektóre zalecenia dotyczące zapobiegania „cash-outom” bankomatów obejmują:
- Silna kontrola dostępu do systemów i identyfikacja zagrożeń ze strony osób trzecich
- Systemy monitorowania pracowników w celu ochrony przed „wewnętrzną robotą”
- Ciągłe szkolenia z zakresu phishingu dla pracowników
- Wieloczynnikowe uwierzytelnianie
- Multi-uwierzytelnianie wieloczynnikowe
- Silne zarządzanie hasłami
- Wymaganie warstw uwierzytelniania/zatwierdzania dla zdalnych zmian sald kont i limitów transakcji
- Wdrożenie wymaganych poprawek bezpieczeństwa w odpowiednim czasie (ASAP)
- Regularne testy penetracyjne
- Częste przeglądy mechanizmów kontroli dostępu i uprawnień przywilejów
- Ścisłe oddzielenie ról, które mają uprzywilejowany dostęp, w celu zapewnienia, że żaden identyfikator użytkownika nie może wykonywać wrażliwych funkcji
- Instalacja oprogramowania do monitorowania integralności plików, które może również służyć jako mechanizm wykrywania
- Ścisłe przestrzeganie całego standardu PCI DSS
W celu uzyskania dalszych informacji na temat najlepszych praktyk w zakresie wykrywania i zapobiegania, należy przejrzeć nasz pełny biuletyn.
Jak ludzie mogą dowiedzieć się więcej o tego typu atakach?