Gli ATM (gli sportelli bancomat, nel gergo comune: Automated Teller Machine) negli ultimi tempi hanno attirato sempre più spesso le attenzioni dei cyber criminali: per questo motivo le problematiche relative alla ATM Security hanno assunto una rilevanza notevole, soprattutto in seguito ad alcuni attacchi informatici proprio ai danni degli sportelli bancari automatici.
È importante, quindi, delimitare il perimetro di questa nuova emergenza criminale per meglio focalizzare quelli che sono i reali rischi per l’intera economia mondiale. Gli attacchi più eclatanti, finora, si sono verificati ai danni di vittime non occidentali: nell’articolo faremo riferimento ad un attacco informatico subito da una compagnia (una banca più precisamente) indiana. Tuttavia, nell’arco dell’ultimo biennio, il mirino dei cyber criminali sta puntando diversi obiettivi e queste limitazioni geografiche non sono più così marcate.
Indice degli argomenti
ATM Security: com’è fatto un Bancomat per scoprirne i punti deboli
Il bancomat, nell’immaginario comune, è uno strumento semplice e con uno scopo ben definito. Tuttavia, se analizzato più in profondità, ci si accorge di come esso sia composto da molteplici elementi che – alla fine dei conti – permettono di raggiungere quel semplice scopo.
Dove può essere vulnerabile un ATM? Gli access point sono molti e, di conseguenza, si moltiplicano le vulnerabilità di sicurezza. Nel dettaglio, un ATM è composto dai seguenti elementi:
- il vault: l’acciaio che include diversi elementi atti a distribuire il contante e a controllare il contante stesso – oltre che la cassaforte stessa;
- il lettore delle carte, siano esse a chip o a banda magnetica;
- l’inner housing: custodia di acciaio situata all’interno del bancomat;
- la stampante delle ricevute;
- la CPU: questo elemento ha diverse funzioni. La Central Processing Unit permette infatti di gestire oltre che le comunicazioni anche l’user interface e le periferiche;
- lo screen: ossia l’interfaccia che permette il “dialogo” ATM – user;
- l’equipaggiamento di sicurezza: che comprende diverse componenti, tra cui sensori, telecamere ecc.;
- il PIN pad: il sistema di crittografia che, crittografa appunto, il PIN;
- il menu di navigazione: ciò che permette all’utente di sfruttare le funzioni rese possibili dalla macchina ATM;
- il secure cryptoprocessor che, attraverso dei particolari algoritmi riesce a crittografare le comunicazioni.
Al fine di procedere con la nostra analisi è necessaria un’ulteriore postilla riguardante il CBS. Questa sigla è in realtà l’acronimo di un acronimo, una sorta di matrioska di acronimi. Infatti CBS sta per Core Banking System, ma CORE, a sua volta, è una sigla per identificare quattro diversi moduli operativi:
- C: Centralized
- O: Online
- R: Real-time
- E: Exchange
Una sorta di disastro grammaticale che sta ad indicare quel sistema che va a gestire molteplici operazioni come: prestiti, mutui, transazioni, pagamenti e via dicendo.
Siamo riusciti, con non poche difficoltà, a descrivere il perimetro delle operazioni. Come si può facilmente intuire, si tratta di un’infrastruttura di una complessità non banale. Questa, ovviamente, è la risposta tecnologica alle crescenti e sempre più pressanti esigenze degli utenti: garantire un servizio che possa sempre soddisfare il cliente e rispondere alle sue richieste di velocità, operatività multi-piattaforma ed efficienza per il quale è stato necessario implementare questo tipo di architettura.
Come si può dedurre, questa struttura non può essere priva di vulnerabilità, tutt’altro. Le vulnerabilità sono ben presenti e per fare in modo di avere la situazione sotto controllo è – come sempre – necessario predisporre un framework che garantisca risposte efficaci ed efficienti.
Il caso Cosmos Bank e l’importanza della ATM Security
Per offrire un chiaro esempio di quale sia, a livello pratico, la situazione dell’ATM Security è opportuno (per non dire necessario) offrire un esempio. Emblematico, a questo proposito, è il caso Cosmos Bank.
Prima di procedere con la descrizione specifica dell’attacco in questione, esplicitiamo le cifre. Solamente in questo modo ci si può rendere conto della dimensione di quanto avvenuto. In termini di transazioni: circa 800 transazioni autorizzate benché fraudolente. Da aggiungere: 450 carte di credito clonate. Queste clonazioni hanno portato a circa 12.000 transazioni a livello internazionale.
Ora parliamo di quanto avvenuto. L’evento in questione è abbastanza recente (risale allo scorso mese di agosto 2018) e si può ridurre a mo’ di titolo giornalistico in: “Hacker bersagliano la rete Swift/ATM della famosa banca indiana e rubano 13 milioni e mezzo di dollari”.
Ma, semplificazioni a parte, cosa è successo veramente? Sicuramente qualcosa di molto più complesso rispetto agli attacchi che siamo soliti “apprezzare”. Questo è facile poterlo affermare poiché le competenze tecniche per portare avanti un attacco di questo genere non sono per niente scontate.
L’attacco, infatti, opera a livello di CBS (l’acronimo di un acronimo che abbiamo eviscerato in precedenza): il CBS, lo ricordiamo, svolge moltissime funzioni cardine che hanno come terminale l’ATM. Inoltre, questo sistema garantisce alle filiali e agli ATM l’accesso all’applicazione centrale (questa applicazione centrale è, di fatto, gestita dai data center centrali). Abbiamo brevemente accennato in precedenza come un’architettura di questo genere possa essere soggetta a vulnerabilità, soprattutto relativamente al modulo Real-time del CORE di un CBS. Questi attacchi riescono a sfruttare al meglio proprio questa complessità insita nel sistema che abbiamo visto.
Analisi di un attacco agli ATM
Come si sono – a livello pratico – insidiati i cyber criminali all’interno del sistema? Non abbiamo, a questo proposito, una risposta certa. Tuttavia si possono avanzare delle idee plausibili che riguardano il classico sfruttamento di una vulnerabilità di un servizio di terze parti o l’ancor più classico phishing (questa campagna specifica potrebbe addirittura includere un malware).
Analizziamo gli sviluppi post-accesso: attraverso delle operazioni (probabilmente) di ingegneria sociale o di manomissione della produzione, gli hacker hanno “infilato” un proxy switch malevolo sull’ATM payment Switch. Ora inizia la parte veramente “divertente” – per non dire tragicomica: una vera e propria interruzione delle comunicazioni tra backend e sistema CBS a seguito di una vera e propria sostituzione da parte degli hacker.
Il sistema in uso non era più quello della banca ma quello sotto il controllo dei cyber criminali. A questo punto è facile intuire come ogni dato emesso dal payment switch in controllo dei criminal hacker non venisse spedito al sistema della banca. Questa metodologia permette di tagliare fuori completamente il sistema della banca e i relativi controlli circa PIN e simili. Una volta che non è più la banca a dare il consenso circa le transazioni, per gli attaccanti è iniziata la festa vera e propria.
A questo punto, è utile approfondire l’analisi in merito alle 12.000 transazioni internazionali a cui accennavamo prima. Il numero di queste transazioni è davvero molto elevato e possiamo affermare che le richieste di transazione (richieste TRQ) sono state, di fatto, autorizzate dagli hacker attraverso specifici messaggi di risposta alle transazioni (messaggi TRE). Per lo stesso principio che abbiamo visto prima, le richieste non avevano più nulla a che fare con il sistema originale gestito dalla banca. C’è da ammettere che i cyber criminali in questo specifico attacco hanno elaborato un sistema geniale per tagliare fuori ogni tipo di controllo. Ciliegina sulla torta: non essendo, le richieste, di pertinenza della banca – poiché non inoltrate al sistema centrale – gli attaccanti riuscivano a rispettare la compliance a ciò che richiede lo standard internazionale per le transazioni elettroniche (ISO 8583).
ATM Security: l’importanza di un framework di sicurezza
Arrivati a questo punto, non dovremmo aggiungere più nulla per convincere qualcuno circa la necessità di predisporre un ATM Security Framework. Il Dark Web, per un potenziale malintenzionato, è come un parco giochi: vi si può trovare di tutto e, purtroppo per le banche in questo caso, anche gli strumenti “chiavi in mano” già pronti per effettuare cyber attacchi. L’adozione di un framework efficace, dunque, rappresenta un vero e proprio punto focale per la guerra contro i cyber risk. È fondamentale comprendere all’interno di questo framework tutti e tre i livelli di sicurezza: preventiva, proattiva e predittiva.
