PCI SSC e ATMIA compartilham orientações e informações sobre proteção contra Cash-outs de ATM.
Por que você está emitindo este boletim de ameaça do setor?
Troy Leach: Ouvimos de muitas de nossas partes interessadas na comunidade de pagamentos que os “levantamentos” de ATM são uma preocupação crescente em todo o mundo. Nós sentimos, como líder em segurança de pagamentos, que agora era a hora de emitir um boletim com nossos amigos e colegas da ATMIA que o setor está bem ciente dessas ameaças diárias.
O que são retiradas de dinheiro em caixas eletrônicos? Como eles funcionam?
Mike Lee: Basicamente, um ataque de “saque” em caixas eletrônicos é um ataque elaborado e coreografado, no qual criminosos violam um banco ou processador de cartões de pagamento e manipulam controles de detecção de fraude, bem como alteram contas de clientes, de modo que não há limites para sacar dinheiro de inúmeros caixas eletrônicos em um curto período de tempo. Os criminosos frequentemente manipulam saldos e limites de saques para permitir saques em caixas eletrônicos até que os caixas eletrônicos estejam vazios.
Então, como exatamente esses ataques funcionam?
Mike Lee: Um ataque de saque em caixas eletrônicos requer planejamento e execução cuidadosos. Muitas vezes, a empresa criminosa ganha acesso remoto a um sistema de gerenciamento de cartões para alterar os controles de prevenção à fraude, tais como limites de saque ou número PIN de contas comprometidas do portador do cartão. Isto é normalmente feito através da inserção de malware via phishing ou métodos de engenharia social nos sistemas de uma instituição financeira ou processador de pagamento. A empresa criminosa pode então criar novas contas ou usar contas existentes comprometidas e/ou distribuir cartões de débito/crédito comprometidos a um grupo de pessoas que fazem saques em caixas automáticos de forma coordenada. Com o controle do sistema de gerenciamento de cartões, os criminosos podem manipular saldos e limites de saques para permitir saques em caixas eletrônicos até que as caixas automáticas estejam vazias de dinheiro. Esses ataques geralmente não exploram vulnerabilidades nos próprios caixas automáticos. O caixa eletrônico é usado para sacar dinheiro depois que as vulnerabilidades do sistema de autorização dos emissores de cartões forem exploradas.
Que empresas correm o risco desse ataque desonesto?
Troy Leach: As instituições financeiras e os processadores de pagamentos estão em maior risco financeiro e provavelmente serão o alvo destes ataques coordenados e em larga escala. Essas instituições podem perder milhões de dólares em um período de tempo muito curto e podem ter exposição em várias regiões do mundo como resultado desse ataque criminoso altamente organizado e bem orquestrado.
Quais são algumas das melhores práticas de detecção para detectar essas ameaças antes que elas possam causar danos?
Troy Leach: Uma vez que os ataques de “cashout” ATM podem acontecer rapidamente e drenar milhões de dólares em um curto período de tempo, a capacidade de detectar essas ameaças antes que elas possam causar danos é fundamental. Algumas maneiras de detectar esse tipo de ataque são:
- Monitoramento de velocidade das contas e volume subjacentes
- 24/7 recursos de monitoramento incluindo Sistemas de Monitoramento de Integridade de Arquivos (FIMs)
- Sistema de relatório que soa o alarme imediatamente quando atividade suspeita é identificada
- Desenvolvimento e prática de um sistema de gerenciamento de resposta a incidentes
- Verificar fontes de tráfego inesperadas (e.g. Endereços IP)
- Localizar a execução não autorizada de ferramentas de rede
Quais são algumas das melhores práticas de prevenção para impedir que este ataque aconteça em primeiro lugar?
Lixiviação de problemas: A melhor proteção para mitigar os “cash-outs” de caixas eletrônicos é adotar uma defesa em camadas que inclua pessoas, processos e tecnologia. Algumas recomendações para prevenir “cash-outs” de ATMs incluem:
- Fortíssimos controles de acesso aos seus sistemas e identificação de riscos de terceiros
- Sistemas de monitoramento de funcionários para se proteger contra um “trabalho interno”
- Treinamento contínuo de phishing para funcionários
- Multi-Autenticação fatorial
- Gestão de senhas fortes
- Exigir camadas de autenticação/aprovação para alterações remotas de saldos de contas e limites de transações
- Execução dos patches de segurança requeridos de forma oportuna (ASAP)
- Testes de penetração regular
- Reavaliações freqüentes dos mecanismos de controle de acesso e acesso privilégios
- Separação restrita de funções que têm acesso privilegiado para garantir que nenhum usuário possa executar funções sensíveis
- Instalação de software de monitoramento de integridade de arquivos que também pode servir como mecanismo de detecção
- Abertura restrita a todo o PCI DSS
>
>
>
Para mais informações sobre as melhores práticas de detecção e prevenção, as pessoas devem rever o nosso boletim completo.
Como as pessoas podem aprender mais sobre estes tipos de ataques?