Il ritorno di Skimmer: a rischio i bancomat di tutto il mondo

Naviga SWZ: Home Page » News
News del 04 Giugno 16 Autore: Stefano Fossati
I cybercriminali “obbligano” i bancomat ad aiutarli a rubare denaro ai clienti. E’ l’allarme lanciato da Kaspersky Lab, che hanno rilevato il ritorno (sgradito) di Skimmer. il primo malware a prendere di mira i bancomat: scoperto nel 2009, sette anni dopo è di nuovo pericolosamente in circolazione. E, purtroppo, sia i truffatori sia il programma si sono evoluti, rappresentando una minaccia ancora più subdola.

La scoperta è venuta dall’analisi dei sistemi di una banca che aveva scoperto di essere stata attaccata, anche se stranamente non era stato rubato denaro e sembrava non essere stato modificato alcunché nel sistema. Apparentemente, dopo essere penetrati nella piattaforma informatica, i criminali se n’erano semplicemente andati. Ma gli esperti di Kaspersky Lab sono riusciti a scoprire le tracce di una versione migliorata del malware Skimer su uno dei bancomat della banca: per nasconderne la presenza, gli hacker, dopo averlo impiantato, lo avevano lasciato inattivo in attesa di un comando da parte degli stessi cyber criminali.

In pratica, anziché installare dispositivi skimmer (quei lettori di schede “fisici” installati su quelli legittimi dei bancomat per sottrarre i dati della carta), i criminali del gruppo Skimmer trasformano l’intero sportello automatico in uno skimmer: una volta che il bancomat è stato infettato tramite Backdoor.Win32.Skimer, i criminali possono prelevare tutti i soldi presenti al suo interno o rubare i dati dalle carte utilizzate, inclusi il numero di conto bancario del cliente e il codice PIN. E, a differenza degli skimmer “fisici”, in questo caso non c’è modo per gli utenti di distinguere un bancomat infetto: anche a uno sguardo attento non appare alcun segno della compromissione.



Non solo: il prelievo diretto di denaro dalla macchina verrebbe immediatamente scoperto dopo il primo furto, mentre il malware all’interno del bancomat può studiare indisturbato i dati delle carte per molto tempo. Per questo, il gruppo Skimer non inizia immediatamente ad agire, ma fa molta attenzione a nascondere le proprie tracce, lasciando che il suo loro malware operi nel bancomat infetto anche per mesi senza intraprendere alcuna azione. Per risvegliarlo, i criminali inseriscono una carta speciale, contenente determinati codici sulla striscia magnetica (guarda il video qui sopra): una volta letto il codice, Skimer può sia eseguire il comando codificato, sia richiedere comandi tramite uno speciale menu attivato dalla carta. L’interfaccia grafica del malware appare sul display solo dopo che la carta è stata espulsa e che il criminale ha inserito entro un minuto la giusta chiave di sessione attraverso la tastiera numerica del bancomat.

Attraverso questo menù, il criminale può attivare 21 diversi comandi, come l’erogazione di denaro (40 banconote dal cassetto specificato), la raccolta dei dettagli relativi alle carte inserite, l’autoeliminazione, l’aggiornamento del codice del malware (attraverso un file inserito nel chip della carta). Se gli vengono richiesti i dati delle carte, Skimer può salvare il relativo file sul chip della carta stessa o può stamparli sulle ricevute del bancomat. Nella maggior parte dei casi, notano gli analisti di Kaspersky Lab, i criminali scelgono di aspettare e raccogliere i dati delle carte per crearne in seguito delle copie, con le quali vanno a prelevare denaro in un altro bancomat non infetto. In questo modo, gli hacker si assicurano che i bancomat infettati non vengano scoperti in breve tempo.

Kaspersky Lab identifica attualmente 49 varianti di questo malware, la più recente delle quali è stata scoperta all’inizio di questo mese. Gli ultimi 20 campioni della famiglia Skimer sono stati caricati da più di 10 Paesi in tutto il mondo: Emirati Arabi Uniti, Francia, Stati Uniti, Russia, Macao, Cina, Filippine, Spagna, Germania, Georgia, Polonia, Brasile e Repubblica Ceca. Per prevenire la minaccia, Kaspersky Lab raccomanda alle banche di effettuare regolari scansioni anti-virus, oltre a usare tecnologie di whitelisting, una buona policy di gestione dei dispositivi e la criptazione completa del disco, ma anche proteggere il Bios del bancomat tramite password, permettere solo l’avvio dell’hard disk e isolare la rete del bancomat da qualsiasi altra rete interna della banca.

“In questo caso specifico – spiega Sergey Golovanov, Principal Security Researcher di Kaspersky Lab - è possibile applicare un’altra importante contromisura. Backdoor.Win32.Skimer controlla le informazioni (9 precisi numeri) codificate nella striscia magnetica della carta per riconoscere se deve attivarsi. Abbiamo scoperto i numeri dei codici usati dal malware e li condividiamo con le banche. Una volta in possesso di questi numeri, le banche possono cercarli proattivamente nei loro sistemi di elaborazione, rilevare i bancomat potenzialmente infetti e i money mule, oppure bloccare ogni tentativo da parte dei criminali di attivare il malware”.
Inserisci un commento sul forum Commenta la News sul Forum

Voto:

Categoria: Sicurezza

La Community di SWZone.it

La community con le risposte che cerchi ! Partecipa é gratis !
Iscrizione ForumIscriviti al Forum

Newsletter

Vuoi ricevere tutti gli aggiornamenti di SWZone direttamente via mail ?
Iscrizione NewsletterIscriviti alla Newsletter

NOTIZIE CORRELATE