Negli ultimi mesi sembra aver rialzato la testa il pericolo degli attacchi di criminal hacker sferrati ai danni di bancomat e dispositivi ATM mediante tecniche di ATM Jackpotting. Ma la minaccia è veramente così incombente?
Prendendo in considerazione unicamente il Vecchio Continente, non sembrerebbe proprio che il pericolo si sia concretamente materializzato.
Secondo i dati in nostro possesso (forniti dalla EAST o European Association for Secure Transactions, l’associazione che raccoglie i dati di questo campo), che prendono in considerazione unicamente i primi sei mesi di questo 2019, gli attacchi che hanno avuto successo attraverso tecniche di ATM Jackpotting o ATM malware sono stati 35.
Più nel dettaglio l’utilizzo di malware è stato riscontrato in soli 3 casi, mentre negli altri si trattava di attacchi “black box”.
Le perdite finanziare collegate ai malware, invece, hanno fruttato ai criminal hacker un misero bottino di 1.000 euro. Di fatto, sempre secondo EAST, per il secondo anno di fila in Europa c’è stato un sostanziale fallimento di questa tecnica.
Indice degli argomenti
ATM Jackpotting: lo scenario Europeo
Il primo caso di malware ATM è stato individuato inizialmente in Europa nel 2017.
Anche allora, però, gli attacchi sono stati rari e non hanno sempre avuto successo. Mentre l’uso di malware ATM è molto diffuso in altre parti del mondo, i più elevati standard europei per il settore bancario hanno dato i loro frutti dal punto di vista della cyber security.
Il modus operandi nella diffusione di questa infezione ha sicuramente un grosso scoglio iniziale da superare: i criminal hacker hanno bisogno di accedere a una porta USB aperta, a uno slot per CD/DVD o a prese di rete.
La maggior parte delle banche in Europa, però, hanno da tempo preso precauzioni in questo senso, sia attraverso l’uso di ATM fisicamente protetti sia attraverso device che utilizzano software di cyber security per rilevare la presenza di malware.
Ciò ha reso molto rari i casi di classico malware ATM, rispetto ad altre parti del globo, che utilizzano ancora sistemi decisamente più datati.
ATM Jackpotting: i dettagli tecnici degli attacchi ai bancomat
L’EAST raggruppa i malware nella macrocategoria degli “attacchi logici” che comprendono anche i già citati metodi di “black box” attack o ATM Jackpotting.
Proprio perché le stazioni bancomat sono spesso rinforzate e ben protette a livello “fisico”, durante un attacco di ATM Jackpotting gli aggressori devono praticare un foro nel “case” e inserire il cavo di connessione con il PC portatile necessario a trasmettere il malware.
Una volta stabilita la connessione, utilizzano il device per “imporre” all’ATM di rilasciare le banconote disponibili – da qui il nome Jackpotting, una sorta di richiamo alla slot machine dopo una vincita.
Allo stesso modo dei malware ATM, però, anche gli attacchi di Jackpotting sono diminuiti sensibilmente. Il motivo? Ogni operazione comportava la distruzione del bancomat, l’utilizzo di macchinari complessi e costosi e un’attenta pianificazione.
Di conseguenza, i criminali hanno rivolto lo sguardo a tecniche che possono essere riutilizzate innumerevoli volte.
Transaction Reversal Fraud (TRF), il nuovo pericolo
Per molti anni oramai, il primo colpevole sia per numero di attacchi sia per quantità di denaro sottratto dagli ATM è stato il tristemente famoso “skimmer”, il device capace di leggere, e in certi casi immagazzinare su una memoria EPROM o EEPROM, i dati della banda magnetica delle carte di credito.
Ma adesso sembra che abbia alzato la testa una nuova minaccia: il Transaction Reversal Fraud.
Queste due tecniche costano alle banche europee tra i 250 e i 350 milioni di euro ogni anno e hanno il vantaggio di non lasciare tracce e quindi di poter essere riutilizzate molte volte.
Secondo l’EAST, però, nella prima metà del 2019 c’è stato un deciso paradigm shift e il numero di frodi commesso con gli skimmer ha visto una netta picchiata in favore del già citato TRF.
Il Transaction Reversal Fraud, o TRF, sfrutta glitch e bug di sistema degli ATM per portare a termine il suo compito.
In un attacco della TFR, i truffatori inseriscono una carta, regolarmente emessa, nel bancomat, digitano il PIN corretto e richiedono un prelievo di contanti. Tuttavia, quando l’ATM espelle la carta di pagamento, il criminale mantiene la carta nello slot.
L’idea è proprio quella di lasciare il bancomat nella fessura fino a quando il sistema sia convinto che la carta si sia inceppata e la transazione bancaria in corso debba essere annullata, di fatto rindebitando sul conto del criminale il denaro richiesto.
A questo punto, viene utilizzato uno strumento come un cacciavite per forzare l’apertura dell’otturatore del bancomat e prendere le banconote che erano state precedentemente preparate per essere erogate per la transazione ormai annullata.
L’EAST ha dichiarato che tali attacchi sono diventati la forma predominante di frode ATM in Europa, con oltre 5.000 incidenti nella prima metà del 2019, contro i poco meno di 2.000 dell’anno scorso, e che rappresentano il 45% di tutti gli attacchi commessi.
Per il prossimo futuro, l’ente ha dichiarato che questa tendenza dovrebbe continuare il suo trend in rialzo, con il malware ATM, il Jackpotting e gli skimmer delle carte in calo.
Tuttavia, proprio come il settore bancario ha reagito agli skimmer e al malware ATM, le protezioni sotto forma di aggiornamenti software renderanno la TRF inefficiente nei prossimi anni e costringeranno i truffatori verso una nuova categoria di attacchi fisici.
