La criminalità informatica è sempre alla ricerca di nuove vulnerabilità da sfruttare. Per questo motivo, mettere in atto misure di sicurezza efficaci è fondamentale per riconoscere i rischi più critici che impattano le istituzioni finanziare, uno dei principali obiettivi degli attacchi informatici degli ultimi anni.
Il report del 2024 di Banca d’Italia “Digital resilience in the Italian financial sector” evidenzia che il numero di incidenti di sicurezza riportati è aumentato costantemente negli ultimi anni, con una segnalazione più che raddoppiata nel corso del 2023 rispetto al 2020; accesso non autorizzato, social engineering, malware e DDoS risultano essere gli attacchi informatici più frequenti.
Indice degli argomenti
Le minacce per gli ATM: un doppio fronte
Nel banking gli ATM sono dispositivi particolarmente esposti a una serie di rischi che possono essere raggruppati in due categorie: gli attacchi fisici e gli attacchi finalizzati alle frodi.
Sebbene gli attacchi fisici agli ATM attirino spesso l’attenzione per la loro portata, sono gli attacchi finalizzati alle frodi – che a loro volta si classificano in attacchi hardware (black box) e malware – che possono causare i danni più gravi, sia in termini economici che reputazionali, per le istituzioni finanziarie.
Il malware, infatti, creato per prendere il controllo dei sistemi ATM, rende più facile agli intrusi compiere azioni fraudolente, come rubare denaro o i dati dei clienti oppure gestire da remoto le transazioni.
Questi attacchi, essendo meno evidenti, possono rimanere nascosti per un periodo di tempo prolungato, causando notevoli perdite finanziarie e danneggiando la fiducia dei clienti nei confronti della banca.
Come avviene l’attacco? Solitamente con l’installazione di malware nel sistema operativo dell’ATM, sfruttando – come prima opzione – le vulnerabilità nel livello XFS (eXtended Financial Services), elemento cruciale che regola l’interazione tra l’hardware dell’ATM e il suo software.
Una volta compromesso, gli aggressori hanno la possibilità di condurre transazioni fraudolente con un elevato livello di invisibilità.
Attacchi malware agli ATM: come funzionano
Gli attacchi malware agli ATM partono dall’individuazione di falle nelle protezioni dei sistemi bancari, proseguono con l’infiltrazione e la persistenza del malware e terminano con l’attivazione di azioni dannose.
Durante la fase iniziale, gli aggressori individuano i punti deboli nei sistemi ATM, impiegando strumenti di reverse engineering e di analisi per sfruttarli. In genere, la fase di infiltrazione avviene in due modi: il malware può essere installato fisicamente tramite dispositivi USB o da remoto utilizzando la rete interna della banca.
Esempi di malware come XFS_Direct, Alice o Cutlet Maker sono solitamente introdotti in loco via USB; mentre attacchi più complessi come HelloWorld/ATMTest/DispenserXFSsfruttano invece le vulnerabilità della rete per diffondere il malware senza dover richiedere l’accesso fisico all’ATM.
Nella fase di attivazione dell’attacco i criminali effettuano transazioni fraudolente o furti di dati utilizzando diversi metodi – per esempio attraverso la carta di credito, la pressione dei tasti dell’ATM o l’esecuzione remota tramite connessioni di rete.
Dopo l’attacco, il malware può essere rimosso o nascosto per eludere l’identificazione, rendendo difficili le indagini forensi e consentendo alle attività illegali di non essere scoperte per lunghi periodi di tempo.
Distribuzione geografica degli attacchi malware agli ATM
Il malware ATM è presente su scala globale, con importanti aree di attività in Messico e Russia, paesi che rappresentano oltre il 50% dei rilevamenti di nuove varianti.
Malware come NeoPocket, Ploutus o varianti di questi sono stati rilevati principalmente in America Latina, mentre in regioni come l’Europa il malware ATMitch o gli attacchi alla rete da parte del malware Anunak/Carbanak/Cobalt hanno causato perdite di milioni di dollari alle istituzioni finanziarie attraverso attacchi coordinati ai bancomat.
Più recentemente è stato il caso del malware FASTCash a preoccupare il settore, sfruttando campagne di spear-phishing per infiltrarsi nei sistemi bancari e compromettere i server delle applicazioni.
Inizialmente rivolto a sistemi Windows e IBM AIX, ora colpisce anche piattaforme Linux, rimanendo silente fino all’attivazione, rendendone difficile il rilevamento e permettendo agli hacker di sottrarre ingenti somme di denaro in modo rapido e coordinato.
Componenti fisici: accesso diretto e manipolazione
Per il corretto funzionamento degli ATM si deve garantire l’accesso fisico agli stessi da parte di operatori autorizzati per la manutenzione, rifornimento del contante e sicurezza.
Questa necessità, però, implica anche un rischio per la sicurezza: l’accesso fisico agli ATM non solo è una priorità per gli operatori autorizzati, ai fini della manutenzione, sicurezza e rifornimento contante, ma è anche una delle modalità più comuni per l’installazione di malware.
I criminali informatici hanno la possibilità di utilizzare dispositivi come unità CD-ROM, unità USB o single board computer (SBC) per infiltrare il malware direttamente nel sistema operativo dell’ATM.
Gli attacchi fisici possono anche comportare la manipolazione di dischi rigidi o l’uso di dispositivi mobili collegati al backend dell’ATM per ottenere il controllo da remoto.
Queste procedure richiedono l’accesso diretto all’hardware, rendendole estremamente efficaci ma al tempo stesso più semplici da identificare rispetto agli attacchi informatici da remoto.
Attacchi basati sulla rete
Il malware che utilizza la rete per introdursi negli ATM è una delle minacce più pericolose, in quanto può diffondersi rapidamente senza richiedere un accesso diretto.
Questi attacchi sfruttano le falle nell’infrastruttura di rete della banca o nei sistemi centralizzati di distribuzione del software. Ad esempio, ATMii o ATMSpitter compromettono le reti bancarie tramite connessioni remote, diffondendo malware a più sportelli automatici collegati alla medesima rete.
Utilizzando strumenti di connessione remota legittimi, come le piattaforme di gestione del software, gli aggressori sono in grado di distribuire malware su larga scala, consentendo lo svolgimento di attività illegali senza la necessità di una presidio fisico.
Attivazione del malware: fisica e remota
L’attivazione di malware presso gli sportelli bancomat può avvenire attraverso una serie di tecniche, fisiche o remote. Uno dei metodi più comuni è l’utilizzo di carte specifiche o di codici inseriti tramite la tastiera del bancomat.
Malware come Skimer/Ligsterac o Ripper utilizzano carte bancarie appositamente progettate per lanciare il malware quando vengono inserite nel bancomat. Altre opzioni, come Prilex e FixS, richiedono l’inserimento di codici attraverso la tastiera del bancomat o l’uso di dispositivi esterni come tastiere o mouse USB collegati al software.
Oltre alle procedure fisiche, esistono strategie di attivazione remota che consentono agli intrusi di eseguire comandi sfruttando i punti deboli della rete. Ad esempio, ATMJaDi e Dtrack utilizzano strumenti di accesso remoto per gestire gli ATM e lanciare malware senza richiedere un’interazione diretta.
Queste tecniche remote sono particolarmente pericolose perché consentono agli aggressori di compromettere più dispositivi contemporaneamente senza lasciare tracce evidenti della loro attività.
Protezione dagli attacchi malware
La protezione degli ATM contro gli attacchi malware richiede un approccio completo e proattivo, non basato solo sul monitoraggio del sistema ma sulla riduzione al minimo della superficie di attacco, attraverso il concetto di Zero Trust e grazie all’integrazione di azioni sia fisiche che tecnologiche.
La crittografia dei dischi rigidi è essenziale per garantire che i dati memorizzati negli ATM non siano accessibili in caso di manomissione esterna, impedendo agli intrusi di alterare o estrarre dati sensibili, preservando così i dati.
In termini di protezione del software, è necessario adottare tecniche avanzate per il whitelisting dei processi, l’integrità dei file, la protezione dei parametri, delle librerie o persino del registro, che riducono notevolmente la superficie di attacco limitando rigorosamente gli strumenti autorizzati, ma anche protocolli e meccanismi di sicurezza avanzati come il TLS ( Transport Layer Security) e il MAC (Message Authentication Code) per garantire l’integrità dei messaggi scambiati tra gli ATM e i sistemi bancari centrali.
Tra i diversi strumenti da implementare in termini di sicurezza, risultano sempre più centrali le soluzioni software con un grado di protezione più elevato rispetto ai firewall di rete, incaricati di proteggere la rete dal traffico indesiderato: i firewall delle applicazioni, ad esempio, non solo controllano le comunicazioni ma regolano anche quali processi possono essere coinvolti in esse
Un approccio Zero Trust
Il concetto di Zero Trust si è dimostrato molto efficace, come dimostrato nel caso di FixS nel 2023, limitando l’accesso solo a dispositivi, processi e utenti rigorosamente convalidati, riducendo così il pericolo di intrusioni non autorizzate.
Con un approccio di questo tipo alla cyber sicurezza, è possibile prevenire non solo gli attacchi malware noti ma anche quelli che potrebbero arrivare in futuro o persino l’uso fraudolento di software legittimi che non servono al funzionamento specifico del dispositivo critico.
È comunque consigliabile applicare anche tecniche di protezione più tradizionali, come l’esecuzione di aggiornamenti regolari del software e la correzione delle vulnerabilità rilevate per evitare lo sfruttamento di attacchi zero-day o la presenza di un sistema di monitoraggio attivo delle minacce.
Le minacce informatiche agli ATM sono sempre più sofisticate, ma le organizzazioni che implementano un approccio alla sicurezza incentrato su prevenzione, controllo e risposta rapida saranno in grado di ridurre efficacemente questi pericoli.
La capacità di anticipare gli aggressori e di chiudere le falle prima che vengano sfruttate è ciò che fa la differenza.
Le soluzioni avanzate di cyber security non rappresentano un’alternativa ma un requisito essenziale per garantire la continuità del business e la salvaguardia degli asset.
