Quase todos os caixas eletrônicos do mundo podem ser acessados ilegalmente e roubados, com ou sem a ajuda de um malware. De acordo com a pesquisa realizada por especialistas da Kaspersky Lab, isso ocorre por causa do uso generalizado de software desatualizado e inseguro, erros de configuração da rede e a existência de falhas de segurança nas peças críticas dos caixas eletrônicos.
Durante muitos anos, a maior ameaça aos clientes e proprietários de caixas eletrônicos foram os skimmers – dispositivos especiais conectados à máquina para roubar dados das tarjas magnéticas dos cartões. Porém, com a evolução das técnicas maliciosas, os caixas eletrônicos ficaram expostos a outros riscos. Em 2014, os pesquisadores da Kaspersky Lab descobriram o Tyupkin – um dos primeiros exemplos amplamente conhecidos de malware direcionados a caixas eletrônicos. Em 2015, identificaram o grupo Carbanak que, entre outras coisas, era capaz de roubar caixas eletrônicos violando a infraestrutura bancária. Ambos os ataques foram possíveis graças à exploração de diversas falhas na tecnologia dos caixas eletrônicos e na infraestrutura subjacente. E isto é apenas a ponta do iceberg.
Com o objetivo de mapear os problemas de segurança nos caixas eletrônicos, os especialistas em testes de penetração da Kaspersky Lab investigaram ataques reais e as avaliações de segurança de caixas eletrônicos de vários bancos internacionais.
Os resultados da pesquisa destacaram as duas principais falhas de segurança que permitem esses ataques de malware contra caixas eletrônicos:
Software antigos e desatualizados: todos os computadores dos caixas eletrônicos executam versões muito antigas dos sistemas operacionais, exemplo o Windows XP. Isso os torna vulneráveis a infecções por malware e exploits. Além disso, na grande maioria dos casos, o software que permite a interação entre o computador do caixa eletrônico, a infraestrutura e os hardware do banco para o processamento de valores e cartões de crédito é baseado em XFS. Este formato é antigo, inseguro e foi criado originalmente para padronizar um software compatível com todos os caixas eletrônicos, independente do fabricante. Porém, ele não exige autorização para processar comandos, ou seja, qualquer aplicativo instalado ou executado no caixa eletrônico pode gerar comandos para os hardware da máquina, incluindo o leitor de cartão ou o compartimento de liberação de dinheiro. Quando um malware consegue infectar o caixa eletrônico, ele tem acesso a funcionalidades de controle do equipamento praticamente ilimitadas: é capaz de transformar o teclado e o leitor de cartão em um skimmer “nativo” ou disponibilizar todo o dinheiro armazenado no caixa eletrônico mediante um comando do hacker.
Segurança física: em muitos casos, os pesquisadores da Kaspersky Lab observaram que não é necessário o uso de um malware para infectar o caixa eletrônico ou a rede do banco, pois é comum que não haja segurança física nos próprios caixas eletrônicos. Muitas vezes, a construção e a instalação deles permitem o fácil acesso de terceiros ao computador interno ou ao cabo de rede que conecta a máquina à internet. Ao acessar fisicamente o caixa eletrônico, mesmo que de forma parcial, os criminosos conseguem instalar microcomputadores (chamados de caixas pretas) para ter acesso remoto à máquina ou conectar o caixa eletrônico a um centro de processamento pirata.
O centro de processamento fraudulento consiste em um servidor idêntico ao servidor do banco, apesar de não pertencer ao banco, para processar os dados de pagamento. Quando o caixa eletrônico é conectado a ele, os invasores podem emitir qualquer comando. E o aparelho obedece.
É possível proteger a conexão entre os caixas eletrônicos e o centro de processamento de várias maneiras: usar um hardware ou software de VPN, criptografia SSL/TLS, firewall ou autenticação MAC, implementada em protocolos xDC. No entanto, essas medidas não são implementadas com frequência e os criminosos não precisam lidar com o hardware, apenas explorar os pontos fracos na comunicação da rede entre o caixa eletrônico e a infraestrutura do banco.
“Os resultados de nossa pesquisa mostram que, embora os fornecedores estejam tentando desenvolver caixas eletrônicos com recursos de segurança mais eficientes, muitos bancos ainda usam modelos antigos e inseguros, o que os deixa vulneráveis aos ataques, que desafiam ativamente a segurança destes dispositivos. Essa é a realidade atual, que provoca enormes prejuízos financeiros para os bancos e seus clientes. Acreditamos que isso seja consequência de uma convicção infundada de muitos anos, há de que os cibercriminosos teriam interesse apenas em ataques contra os bancos online. Claro que eles se interessam por esses ataques, mas também valorizam cada vez mais a exploração de vulnerabilidades nos caixas eletrônicos, já que, nesses ataques diretos, o caminho até o dinheiro real é curto”, destaca Olga Kochetova, especialista em testes de penetração da Kaspersky Lab.
Embora os problemas de segurança mencionados acima provavelmente afetem muitos caixas eletrônicos ao redor do mundo, é possível resolver essa situação. Os fabricantes dos caixas eletrônicos podem reduzir o risco desses ataques adotando as seguintes medidas:
1) Rever o padrão XFS com ênfase na segurança e introduzir a autenticação de dois fatores entre os dispositivos, além de um software legítimo. Isto ajudará a reduzir a possibilidade de saques não autorizados usando trojans, além de evitar que os invasores consigam o controle dos caixas eletrônicos.
2) Implementar uma “autenticação para liberação do dinheiro”, eliminando a possibilidade de ataques via centros de processamento fraudulentos.
3) Adotar uma proteção criptográfica e o controle de integridade dos dados transmitidos entre todas as unidades de hardware e os PCs internos dos caixas eletrônicos.
Para saber mais sobre os problemas de segurança nos caixas eletrônicos, acesso o artigo completo da Olga Kochetova em Securelist.com.