PCI SSC och ATMIA delar med sig av vägledning och information om hur man skyddar sig mot uttag i bankomater.
Varför ger ni ut detta hotbrev för branschen?
Troy Leach: Vi har hört från många av våra intressenter inom betalningsbranschen att ”cash-outs” i uttagsautomater är ett växande problem över hela världen. Som ledare inom betalningssäkerhet kände vi att det var dags att utfärda en bulletin tillsammans med våra vänner och kollegor från ATMIA, vars bransch är väl medveten om dessa dagliga hot.
Vad är ATM Cash-outs? Hur fungerar de?
Mike Lee: I grund och botten är en ”cash-out”-attack mot uttagsautomater en utarbetad och koreograferad attack där brottslingar bryter sig in i en bank eller en betalningskortprocessor och manipulerar kontrollerna för upptäckt av bedrägerier samt ändrar kundernas konton så att det inte finns några gränser för att ta ut pengar från ett stort antal uttagsautomater under en kort tidsperiod. Kriminella manipulerar ofta saldon och uttagsgränser för att tillåta uttag i uttagsautomater tills automaterna är tomma på kontanter.
Hur exakt fungerar dessa attacker?
Mike Lee: En cash-out-attack i en uttagsautomat kräver noggrann planering och utförande. Ofta får det kriminella företaget fjärråtkomst till ett korthanteringssystem för att ändra de bedrägeribekämpande kontrollerna såsom uttagsgränser eller PIN-koder för komprometterade kortinnehavarkonton. Detta görs vanligen genom att införa skadlig kod via nätfiske eller sociala metoder i ett finansinstituts eller en betalningsförmedlares system. Det kriminella företaget kan sedan skapa nya konton eller använda befintliga konton som äventyrats och/eller distribuera äventyrade betal- och kreditkort till en grupp människor som gör uttag i bankomater på ett samordnat sätt. Med kontroll över korthanteringssystemet kan brottslingarna manipulera saldon och uttagsgränser för att tillåta uttag i uttagsautomater tills automaterna är tomma på kontanter. Dessa attacker utnyttjar vanligtvis inte sårbarheter i själva uttagsautomaten. Uttagsautomaten används för att ta ut kontanter efter att sårbarheter i kortutgivarens auktoriseringssystem har utnyttjats.
Vilka företag löper risk att utsättas för denna försåtliga attack?
Troy Leach: Finansiella institutioner och betalningsförmedlare löper störst ekonomisk risk och kommer sannolikt att bli måltavla för dessa storskaliga, samordnade attacker. Dessa institutioner riskerar att förlora miljontals dollar på mycket kort tid och kan utsättas för exponering i flera regioner runt om i världen som ett resultat av denna mycket organiserade och välorganiserade kriminella attack.
Vilka bästa metoder finns det för att upptäcka dessa hot innan de kan orsaka skada?
Troy Leach: Eftersom uttagsattacker på bankomater kan ske snabbt och dra in miljontals dollar på kort tid är förmågan att upptäcka dessa hot innan de kan orsaka skada av avgörande betydelse. Några sätt att upptäcka denna typ av angrepp är:
- Velocity-övervakning av underliggande konton och volym
- Övervakningsfunktioner dygnet runt, inklusive system för övervakning av filintegritet (FIMs)
- Rapporteringssystem som slår larm omedelbart när misstänkt aktivitet identifieras
- Utveckling och praktik av ett system för hantering av incidentrespons
- Kontrollera om det finns oväntade trafikkällor (t.ex.t.ex. IP-adresser)
- Leta efter obehörig körning av nätverksverktyg
Vad är några förebyggande bästa metoder för att förhindra att den här attacken sker överhuvudtaget?
Troy Leach: Det bästa skyddet mot ”cash-outs” av bankomater är att anta ett skiktat försvar som omfattar människor, processer och teknik. Några rekommendationer för att förhindra uttag av bankomatkassor är följande:
- Starka åtkomstkontroller till era system och identifiering av tredjepartsrisker
- System för övervakning av anställda för att skydda sig mot ett ”insiderjobb”
- Kontinuerlig utbildning i nätfiske för anställda
- Mångfaldsutbildning för anställda
- .faktorautentisering
- Sträng lösenordshantering
- Krav på flera nivåer av autentisering/godkännande för fjärrändringar av kontosaldon och transaktionsgränser
- Införandet av erforderliga säkerhetspatchar i tid (ASAP)
- Regelbundna intrångstester
- Frekventa översyner av åtkomstkontrollmekanismer och åtkomstkontroller
- Frekventa översyner av åtkomstkontrollmekanismer och åtkomstkontroller
- . privilegier
- Strikta separationer av roller som har privilegierad åtkomst för att säkerställa att inget användar-ID kan utföra känsliga funktioner
- Installation av programvara för övervakning av filintegritet som också kan fungera som en detektionsmekanism
- Strikta följder av hela PCI DSS
För mer information om bästa praxis för upptäckt och förebyggande, bör man ta del av hela vår bulletin.
Hur kan man lära sig mer om den här typen av attacker?