Últimas notícias

Fique informado
Estudo realizado por especialistas aponta falhas de segurança em caixas eletrônicos

Estudo realizado por especialistas aponta falhas de segurança em caixas eletrônicos

26 de abril de 2016

Spotlight

FEBRABAN TECH traz renomados keynotes internacionais e nacionais para a edição 2022

Ban Ki-moon, Paul Krugman, Makaziwe Mandela, Ilan Goldfajn, Roberto Campos Neto e o ex-jogador Cafu estão entre os destaques do tradicional evento de tecnologia, que ocorre de 9 a 11 de agosto, na Bienal de São Paulo

3 de agosto de 2022

Primeiros cidadãos do país têm acesso ao RG digital no Acre

Documento de identificação dos brasileiros já está disponível digitalmente no aplicativo GOV.BR

3 de agosto de 2022

IDENTITY WEEK 2022 – O mais importante evento de Identidade e Autenticação nos USA

Identity Week: Como autenticar ou identificar cidadãos, consumidores e funcionários, em domínios físico, digital e móvel?

28 de julho de 2022

CISO Forum Brazil 2022 acontece 100% on line com o apoio do CRYPTO ID

CISO Forum Brazil 2022, a ser realizado nos dias 18, 19 e 20 de outubro de 2022 de forma 100% online.

25 de julho de 2022

Diversidade, metaverso, blockchain e formato de trabalho presencial são as principais tendências do Vale do Silício

Empresas e negócios devem absorver essas tendências que hoje estão no centro das discussões sobre inovações no mundo

14 de julho de 2022

NIST anuncia os primeiros quatro algoritmos criptográficos resistentes ao computador quântico

Os 4 algoritmos de criptografia selecionados farão parte do padrão criptográfico pós-quântico do NIST.

6 de julho de 2022

Quase todos os caixas eletrônicos do mundo podem ser acessados ilegalmente e roubados, com ou sem a ajuda de um malware. De acordo com a pesquisa realizada por especialistas da Kaspersky Lab, isso ocorre por causa do uso generalizado de software desatualizado e inseguro, erros de configuração da rede e a existência de falhas de segurança nas peças críticas dos caixas eletrônicos.

2b0312e5-017d-49b8-b0e7-b6ff94608205

Durante muitos anos, a maior ameaça aos clientes e proprietários de caixas eletrônicos foram os skimmers – dispositivos especiais conectados à máquina para roubar dados das tarjas magnéticas dos cartões. Porém, com a evolução das técnicas maliciosas, os caixas eletrônicos ficaram expostos a outros riscos. Em 2014, os pesquisadores da Kaspersky Lab descobriram o Tyupkin – um dos primeiros exemplos amplamente conhecidos de malware direcionados a caixas eletrônicos. Em 2015, identificaram o grupo Carbanak que, entre outras coisas, era capaz de roubar caixas eletrônicos violando a infraestrutura bancária. Ambos os ataques foram possíveis graças à exploração de diversas falhas na tecnologia dos caixas eletrônicos e na infraestrutura subjacente. E isto é apenas a ponta do iceberg.

Com o objetivo de mapear os problemas de segurança nos caixas eletrônicos, os especialistas em testes de penetração da Kaspersky Lab investigaram ataques reais e as avaliações de segurança de caixas eletrônicos de vários bancos internacionais.

Os resultados da pesquisa destacaram as duas principais falhas de segurança que permitem esses ataques de malware contra caixas eletrônicos:

Software antigos e desatualizados: todos os computadores dos caixas eletrônicos executam versões muito antigas dos sistemas operacionais, exemplo o Windows XP. Isso os torna vulneráveis a infecções por malware e exploits. Além disso, na grande maioria dos casos, o software que permite a interação entre o computador do caixa eletrônico, a infraestrutura e os hardware do banco para o processamento de valores e cartões de crédito é baseado em XFS. Este formato é antigo, inseguro e foi criado originalmente para padronizar um software compatível com todos os caixas eletrônicos, independente do fabricante. Porém, ele não exige autorização para processar comandos, ou seja, qualquer aplicativo instalado ou executado no caixa eletrônico pode gerar comandos para os hardware da máquina, incluindo o leitor de cartão ou o compartimento de liberação de dinheiro. Quando um malware consegue infectar o caixa eletrônico, ele tem acesso a funcionalidades de controle do equipamento praticamente ilimitadas: é capaz de transformar o teclado e o leitor de cartão em um skimmer “nativo” ou disponibilizar todo o dinheiro armazenado no caixa eletrônico mediante um comando do hacker.

Segurança física: em muitos casos, os pesquisadores da Kaspersky Lab observaram que não é necessário o uso de um malware para infectar o caixa eletrônico ou a rede do banco, pois é comum que não haja segurança física nos próprios caixas eletrônicos. Muitas vezes, a construção e a instalação deles permitem o fácil acesso de terceiros ao computador interno ou ao cabo de rede que conecta a máquina à internet. Ao acessar fisicamente o caixa eletrônico, mesmo que de forma parcial, os criminosos conseguem instalar microcomputadores (chamados de caixas pretas) para ter acesso remoto à máquina ou conectar o caixa eletrônico a um centro de processamento pirata.

O centro de processamento fraudulento consiste em um servidor idêntico ao servidor do banco, apesar de não pertencer ao banco, para processar os dados de pagamento. Quando o caixa eletrônico é conectado a ele, os invasores podem emitir qualquer comando. E o aparelho obedece.

É possível proteger a conexão entre os caixas eletrônicos e o centro de processamento de várias maneiras: usar um hardware ou software de VPN, criptografia SSL/TLS, firewall ou autenticação MAC, implementada em protocolos xDC. No entanto, essas medidas não são implementadas com frequência e os criminosos não precisam lidar com o hardware, apenas explorar os pontos fracos na comunicação da rede entre o caixa eletrônico e a infraestrutura do banco.

“Os resultados de nossa pesquisa mostram que, embora os fornecedores estejam tentando desenvolver caixas eletrônicos com recursos de segurança mais eficientes, muitos bancos ainda usam modelos antigos e inseguros, o que os deixa vulneráveis aos ataques, que desafiam ativamente a segurança destes dispositivos. Essa é a realidade atual, que provoca enormes prejuízos financeiros para os bancos e seus clientes. Acreditamos que isso seja consequência de uma convicção infundada de muitos anos, há de que os cibercriminosos teriam interesse apenas em ataques contra os bancos online. Claro que eles se interessam por esses ataques, mas também valorizam cada vez mais a exploração de vulnerabilidades nos caixas eletrônicos, já que, nesses ataques diretos, o caminho até o dinheiro real é curto”, destaca Olga Kochetova, especialista em testes de penetração da Kaspersky Lab.

Embora os problemas de segurança mencionados acima provavelmente afetem muitos caixas eletrônicos ao redor do mundo, é possível resolver essa situação. Os fabricantes dos caixas eletrônicos podem reduzir o risco desses ataques adotando as seguintes medidas:

1) Rever o padrão XFS com ênfase na segurança e introduzir a autenticação de dois fatores entre os dispositivos, além de um software legítimo. Isto ajudará a reduzir a possibilidade de saques não autorizados usando trojans, além de evitar que os invasores consigam o controle dos caixas eletrônicos.

2) Implementar uma “autenticação para liberação do dinheiro”, eliminando a possibilidade de ataques via centros de processamento fraudulentos.

3) Adotar uma proteção criptográfica e o controle de integridade dos dados transmitidos entre todas as unidades de hardware e os PCs internos dos caixas eletrônicos.

Para saber mais sobre os problemas de segurança nos caixas eletrônicos, acesso o artigo completo da Olga Kochetova em Securelist.com.