Skip to main content

Malwareak ATM-etan

Kutxazain automatikoak edo ATMak (Automated Teller Machine ingelesezko sigla) banku-transakzioak egiteko gehien erabiltzen diren bitartekoetako bat bihurtu dira, eta, haiei esker, herritarrek azkar eta erraz eskura dezakete eskudirua. Era berean, mota guztietako eragiketak egiteko aukera ematen dute (dirua sartu, mugimenduak kontsultatu, transferentziak eta intsuldaketak egin, ordainagiriak eta isunak ordaindu, sarrerak erosi, mugikorren txartelak kargatu, bai eta kriptodiruekin salerosian aritu ere).

Beste edozein gailu informatiko bezala, malwarearen eraginpean daude ATMak ere, eta, beraz, eraso gidatuak kezkagarriak dira, alde batetik, eragindako erakundeentzat —ATM kutxazainean sartzea eta haren kontrola hartzea, erakundearen barne-sarean sartzeko atea ere izan baitaiteke—, eta, bestetik, erabiltzaileentzat, mehatxuen eragileek informazioa eta dirua lapurtu baitiezaiekete.

ATM malwarearen helburua

ATM malwarearen helburu nagusia da ATM makinaren gailu periferikoetara konektatzea, erabiltzaileek gailuak erabiltzen dituzten bitartean dirua ateratzeko (jackpotting) edo informazioa biltzeko (skimming birtuala). Malwarearen gaitasunen arabera, gauza bat edo biak egin ahal izango dituzte.

Erabilitako teknikak

Gero eta ohikoagoa da kutxazain automatikoekiko eraso logikoa, eta zibergaizkileen helburua da ATMetan sartzea malwarea erabiliz dirua lortzeko eta informazio pertsonala (kontuaren titularrak, izenak, helbidea, etab.) edo informazio finantzarioa (biktimen banku-sinestamenduak, esate baterako) atzemateko.

Hona hemen zibergaizkileek gehien erabiltzen dituzten tekniketako batzuk:

  • ATM jackpotting edo eskudirua ateratzeko erasoak. Teknika horren bidez, infektatutako ATMak dirua emango dio zibergaizkileari, hark kutxazain automatikoan txartela sartu beharrik izan gabe. Horrelako erasoek kutxazain automatikoaren sistema fisikoki ustiatzea eta manipulatzea dakarte, malwarea edo black box edo kutxa beltza izeneko gailu elektronikoa erabiliz (ordenagailua, telefono mugikorra, tableta edo USB, haren bidez kutxazain automatikoko komandoak igorrita). Zibergaizkileek malwarea kargatu eta sistemaren kontrola lortzen dutenean, kutxazaina behartu egiten dute dirua botatzera, txanpon-makinek egiten duten bezala.
  • Kalteberatasunak: gailu horietan dauden kalteberatasunek aukera eman dezakete eragile maltzurrek exploitak erabili eta urrunetik sistemaren kontrola hartzeko. Adibidez, kutxazain batzuek sistema eragile deseguneratuekin eta partxerik gabe funtzionatzen dute.
  • Ingeniaritza soziala: xede duten edozein erakundeko langileei spear phishing mezu elektronikoak bidalita, zibergaizkileek malwarea duten fitxategi maltzurrak eransten dituzte erakundea infektatzeko, ATM kutxazainak barne.
  • Softwarearen eguneratze faltsuak: eguneratzeen bidez malwarea sartzea, bidezko software eguneratzearen itxurak eginez. Instalatu ondoren, zibergaizkileei bitartekari-erasoa edo Man in the Middle (MiTM ingelesezko sigla) egiteko aukera ematen die, erakundearen sarean sartzeko, malwarea exekutatzeko eta infektatutako kutxazain automatikoa kontrolatzeko.
  • Sarean infiltratzea: xede den ATM kutxazainean fisikoki sartuta malwarea instalatzeaz gain, zibergaizkileek erakundeen barne-sareak arriskuan jartzen dituzte kutxazain automatikoen azpiegituran infiltratzeko. Nahiz eta teknika horrek mezu elektroniko maltzurrak bidaltzea eskatzen duen langileek malwarea exekutatu dezaten, sarea infektatu ondoren dirua atera ahal izango litzateke xede diren kutxazain automatikoak bilatu beharrik gabe.

Jardueraren azterketa

Panorama ziberkriminal horrek mundu osoko kutxazain automatikoei eragiten die eta urteetan zehar eboluzionatu egin du. Horrekin batera, ezkutuko funtzioak bereganatzen joan da ATM malwarea kutxazain automatiko ugariri erasotzeko, makinetan fisikoki sartu baino gehiago ere egin baitezake, fisikoak ez diren beste sarbide-puntu batzuk erabilita, esate baterako, zuzenean erakundeen barne-sarea arriskuan jartzeko erasoak, spear phishing kanpainen bidez.

Kutxazain automatikoei zuzendutako malwarearen lehen aldaera 2009koa da. Harrezkero, ATM malwarea oso garrantzitsu bihurtu da zibergaizkile askoren armategirako, irabazi ekonomikoak azkar lortzeko aukera ematen baitu.

Ikertzaileen arabera, ATM malwareen 20 andui baino gehiago daude. Haietako batzuk NCR markako kutxazain automatikoetara bideratzen dira bereziki, eta beste batzuk, berriz, Diebold enpresako kutxazain automatikoetara.

Hona hemen ATM kutxazainei zuzendutako mehatxu zibernetikoen panoraman agertzen diren malware-familia interesgarrienetako batzuk:

  • Plotus: 2013. urtean detektatu zen lehen aldiz. Malware hau kutxazain automatikoa dirua ematera behartzeko diseinatua dago berariaz, eta ez txartelaren titularraren informazioa lapurtzeko. Hasiera batean, mehatxu horren helburua izan zen Mexikon dauden NCR markako kutxazain elektronikoak kontrolatzea eta haietan sartzea. Ordutik aurrera, beste herrialde batzuetara hedatu da mehatxua, eta beste funtzionalitate batzuk dituzten aldaera berrietara eboluzionatu du, esate baterako, teklatuaz gain USB bidez konektatutako mugikor baten bidez komandoak bidaltzeko aukera.
  • Padpin-Tyupkin: Padpin malwarea 2014an ikusi zen lehen aldiz. Ondoren, Tyupkin izeneko bertsio berria sortu zen. Europako eta Asiako hego-ekialdeko kutxazain automatikoetara bideratu zen, zibergaizkileek kutxazainetatik eskudirua ateratzeko.
  • Anunak: batez ere Errusiako eta Ukrainako bankuei zuzendua, malware hori Carberp troiarrean oinarritutako backdoor bat da.
  • Carnabak: datuak birbidaltzeko, espioitza-jarduerak egiteko eta sistemak urrunetik kontrolatzeko bereziki diseinatutako malwarea.
  • Ripper: Thailandian eraso koordinatu batean erabili zen malware hau bankuaren sarean sartzeko eta, ondoren, malwareak kutxazain automatikoetan banatzeko, gailuak fisikoki erasotzeko beharrik gabe.
  • NeoPôcket: S21sec-ek aurkitu zuen 2014ko apirilean. Informazioa lapurtzeko malware hau Diebold-ek fabrikatutako kutxazain automatikoetara bideratzen da, man in-the-middle erasoen bidez. Erabiltzailearen sarrerak erregistratzen ditu aplikazio espezifikoen leihoetatik, eta gero dark web merkatuetan saltzen du eskuratutako informazioa, eta iruzurrezko beste jarduera batzuetan erabiltzen da. Malware hau denbora laburrean exekutatzeko ere diseinatua dago, eta, ondoren, arrasto guztiak ezabatzen ditu, detektatzea saihestuz.
  • SUCEFUL: ATM malware-prototipoak sortzeko tresna da. Banku-txartelak atzematen ditu infektatutako kutxazain automatikoaren txartelen artekan, txartelaren banda magnetikoa eta/edo txiparen datuak irakurtzen ditu eta kutxazaineko sentsoreak desgaitzen ditu, berehala detekta ez daitezen.

Segurtasun-neurriak eta jardunbide egokiak

Zibergaizkileak malware-erasoen eta infekzioen bidez kutxazain automatiko kalteberetara jotzen ari dira 2009az geroztik. Mehatxu-egoerak eboluzionatu egin du 2015etik, gaitasun hobetuak dituzten malware-familia berriak sortu baitira. Horrez gain, eraso ez-fisikoak egiten ari dira ATM makinak erabiltzeko aukera ematen duten erakundeen sarearen bidez. Hori guztia ikusita, gomendatzen da honako ohar hauek kontuan hartzea bai erabiltzaileek bai ukitutako enpresek nahiz ATM kutxazainen hornitzaileek:

Erabiltzaileak:

Kutxazain automatikoak erabiltzerakoan, kutxazainaren instalazioak kontuan hartu behar dira, datuak edo dirua lapurtzeko malwarea dagoela ohartaraz dezaketen adierazleak identifikatzeko.

  • Itxura segurua duten kutxazainak erabili.
  • Malwarea dagoela adierazten duten patroiak edo portaerak atzemanez gero (kutxazaina berrabiatzea, hutsuneak jarduera-erregistroetan eta transakzioetan, ekipoak fisikoki aldatuak, etab.) makinak ez erabili, informazioa ez lapurtzeko.
  • ATM kutxazainaren erabileran irregulartasunik atzemanez gero, jaso gertatutakoaren xehetasun guztiak eta jarri harremanetan enpresarekin, gertatutakoaren berri emateko.

Enpresak eta hornitzailea

Erakunde interesdunek eta kutxazain automatikoen hornitzaileek erne egon behar dute eta behar diren neurriak hartu behar dituzte ATMan malware-eraso horiek saihesteko.

  • ATM fisikoki bastionatu, sistema informatikoaren konexio-ataketara sartzea galaraziz.
  • ATMen segurtasuna aldian behin egiaztatu.
  • Eraso logikoak edo ATM malware-erasoak kudeatzeko eta haiei erantzuteko planak eta prozedurak sortu eta ezarri.
  • Diskoa zifratu, manipulatu ez dadin.
  • Windows XP exekutatzen duten kutxazain automatikoak planifikatu eta Windowsen goragoko bertsioetara migratu, haren euskarria amaitu egin baita.
  • Enpresetako langileak kontzientziatu, malwarea izan dezaketen mezu elektroniko susmagarriak ireki ez ditzaten.

Erreferentziak

https://securelist.com/atm-pos-malware-landscape-2017-2019/96750/ 

https://dd80b675424c132b90b3-e48385e382d2e5d17821a5e1d8e4c86b.ssl.cf1.rackcdn.com/external/diebold-nixdorf-security-alert-2.pdf