پژوهشهای اخیر نشان دادهاند که اکثر دستگاههای خودپرداز در سرتاسر جهان آسیبپذیر هستند و مهاجم میتواند در عرض 30 دقیقه دستگاه را هک نموده و به پولهای نقد آنها دسترسی پیدا کند. مجرمان سایبری از روشهای پیچیدهی متفاوتی از جمله دسترسی فیزیکی و دسترسی Remote از طریق شبکهی بانک استفاده میکنند، تا پولها را از دستگاههای خودپرداز سرقت نمایند.
اخیرا حملاتی بر روی دستگاههای خودپرداز توسط هکرها انجام شد که با استفاده از حملهی SMS Phishing از دستگاههای خودپرداز بدون کارت پول میدزدند. این حمله کاربر را مجبور میکرد که اطلاعات اعتباری حساب بانکی خود را در وبسایت تقلبی وارد کند.
سرویس مخفی ایالات متحده در مورد حملهی جدید ATM Skimming به نام «Wiretapping» هشدار داد که با ایجاد یک سوراخ کوچک در دستگاه خودپرداز و دزدیدن اطلاعات مشتری، به طور مستقیم از کارتخوان داخل دستگاه، مراکز مالی را هدف قرار میدهد. همچنین مهاجمین سایبری تلاش میکنند که دستگاههای خودپرداز را به انواع بدافزار مانند Alice، Ripper، Radpin و Ploutus که معمولا در Dark Web Marketها قابل دسترس هستند، آلوده کنند.
پژوهشگری از PT Security حدود 26 مدل از دستگاههای خودپرداز را امتحان کرده و تجزیهوتحلیل امنیتی کاملی را انجام داد که نشان میدهد، دستگاههای خودپرداز از چهار جنبهی زیر آسیبپذیر هستند.
- امنیت ضعیف شبکه
- امنیت ضعیف تجهیزات داخلی
- پیکربندی نامناسب سیستمها یا دستگاهها
- آسیبپذیریها یا پیکربندی نامناسب Application Control
مهاجمان برای نفوذ به شبکهی دستگاه خودپرداز، با قطع ترافیک و یا ایجاد ترافیک غیرواقعی در شبکه، حملات خود را به تجهیزات بانک انجام میدهند.
راههای نفوذ به دستگاههای خودپرداز
به طور کلی دو روش وجود دارد که مهاجمان با استفاده از آنها به دستگاه خودپرداز نفوذ کرده و پولهای آن را به سرقت میبرند. اولین روش دریافت پول از دستگاه خودپرداز است و دومین روش دزدیدن اطلاعات کارت کاربر است که این کار با کپی کردن این اطلاعات در زمانی که کاربر میخواهد از دستگاه پول دریافت نماید، انجام میشود.
بطور کلی حملات در سطح شبکه، حملاتی هستند که بیش از همه، مورد استفاده قرار میگیرند. در این حملات شبکهی بانک که به دستگاه خودپرداز متصل است به صورت Remote هک میشود؛ این حملات ممکن است از طرف یکی از کارمندان بانک و یا از طرف ارائهدهندهی خدمات اینترنتی باشد.
در این سناریو، با دسترسی به شبکهی دستگاه خودپرداز به صورت فیزیکی و هم Remote، نفوذ به دستگاه خودپرداز تنها 15 دقیقه زمان میبرد و 85 درصد دستگاههای خودپرداز نسبت به این نوع حملات آسیبپذیرند.
جعل کردن مرکز پردازش
این سناریوی حمله در صورتی رخ میدهد که انتقال داده بین دستگاه خودپرداز و مرکز پردازش ایمن نباشد و در حمله، فرایند تایید تراکنش را دستکاری نمایند، این فرایند زمانی رخ میدهد که مرکز پردازش جعلی (شبیه سازی شده) درخواستی را از دستگاه خودپرداز دریافت کرده و دستور پرداخت به کاربر را صادر کند.
این حمله را زمانی میتوان با موفقیت انجام داد که دادههای بین دستگاه خودپرداز و مرکز پردازش رمزگذاری نشده باشد، امنیت VPN به طور ضعیف پیادهسازی شده باشد و کدهای احراز هویت پیام در درخواستها و پاسخهای تراکنشی مورد استفاده قرار نگیرند. 27 درصد از دستگاههای خودپرداز را میتوان با استفاده از این حمله هک نمود.
Exploit کردن آسیبپذیریهای سرویس شبکه
مهاجمان آسیبپذیریهای سرویسهای شبکه را با اجرای کد بصورت Remote در شبکهی آسیبپذیر، Exploit میکنند. این امر منجر به خاموش شدن سیستم امنیتی که توسط بانک پیادهسازی شده است، میگردد و پول توسط دستگاه خودپرداز عرضه میگردد.
این نوع از حملات معمولا بانکهایی را هدف قرار میدهند که موفق نشدهاند فایروال مناسبی را پیادهسازی نمایند، نرمافزارشان به روز نیست و یا سیستمهای امنیتیشان به درستی پیکربندی نشده است؛ 58 درصد از دستگاههای خودپرداز نسبت به این حمله آسیبپذیرند.
نفوذ به تجهیزات شبکه
نفوذ به تجهیزات شبکه که به دستگاه خودپرداز متصلاند، باعث دستیابی به کنترل کامل دستگاه خودپرداز و دستور ارائهی پول به صورت Remote میشود. این سناریو به نفوذ در تمام دستگاههای خودپردازی که به شبکهی مورد حمله متصلاند منجر میشود و 23 درصد از دستگاههای خودپرداز نسبت به چنین حملاتی آسیبپذیر هستند.
دسترسی فیزیکی به دستگاه خودپرداز
در این نوع از حملات، مهاجمین سایبری مستقیما دستگاه خودپرداز را سوراخ میکنند تا به کابل مربوط به عرضهی پول دسترسی پیدا کنند. برخلافِ این کابل که در درون دستگاه خودپرداز محافظت میشود، اتصال ارائهکنندهی پول نقد به کامپیوتر دستگاه خودپرداز در بیرون قرار دارد که به هیچ عنوان ایمن نیست. در این صورت وقتی که دسترسی به کابل برقرار شد، مهاجمان آن را به دستگاه خودشان متصل کرده و با استفاده از دستورات مربوطه، مبلغ مورد نظر خود را جابجا میکنند. جای تعجب دارد که 63 درصد از دستگاههای خودپرداز نسبت به این حمله آسیبپذیر هستند.
اتصال به Hard Drive
مهاجمان سعی میکنند با گذشتن از سیستم امنیتی، به ATM Hard Drive متصل گردند تا کنترل ارائهدهندهی پول را به طور کامل بدست گیرند، همچنین اگر Hard Drive رمزگذاری نشده باشد، مهاجم بدافزاری را که دستور توزیع پول را صادر مینماید، در Hard Drive بارگذاری مینماید.
همچنین مهاجمان فایلهای حساس را از Hard Drive کپی کرده و در حملههای آینده از آنها استفاده مینمایند. 92 درصد دستگاههای خودپردازِ بررسی شده، نسبت به این حمله آسیبپذیر بودند. سناریوهای دیگری نیز توسط تیم PT Security گزارش شده است و بانکها باید بیشتر بر روی امنیت کامل دستگاههای خودپرداز تمرکز نمایند تا در آینده از حملات مرتبط به خودپردازها جلوگیری شود.
مراحل شناسایی حملات سایبری در محیط بانکی
- فعالیت تراکنشی مشکوک هدفدار باشد برای مثال با بررسی Transaction Discrepancy Analytic به صورت Frontend و Backend میتوان برای شناسایی فعالیت بدافزارهایی که برای نفوذ از سوئیچهای دستگاههای خودپرداز مورداستفاده قرار میگیرند، بهره برد، یا زمانی که TR، سوئیچ پرداخت را وارد میکند اما هرگز به سراغ احراز هویت نمیرود.
- فعالیت SWIFT Endpoint مشکوک: فرایند SAA نادر و یا MD5 Analytic باشد.
- فعالیت SWIFT مشکوک: از طریق بررسی مقدار برای مثال 103 عددی غیرعادی برای ارسال از مبدا میباشد.
- فعالیت ATM مشکوک: به نقطه اوج رسیدن فعالیتها مانند تراکنشهای غیر EMV ترتیبی برای تجزیهوتحلیل مبدا دستگاه خودپرداز.
- فعالیت شبکهی مشکوک: از طریق بررسی مقدار و با تجزیهوتحلیل تغییرات غیرعادی PCCR میتوان برای کمک کردن به شناسایی تغییرات، در رفتار سوییچهای دستگاه خودپرداز از جنبه ساختاریِ ترافیک شبکه استفاده نمود.
- فعالیت ATM مشکوک: با توجه به نقطه اوج رسیدن Fallbackهای EMV به کارشناس تجزیهوتحلیل، میتوان فعالیت مشکوک را آشکار ساخت.
- فعالیت شبکهی مشکوک: اتصال شبکهی خارجی غیرعادی که با تجزیهوتحلیل Host میتوان برای شناسایی فعالیتهای تهاجمی مرتبط با سوییچ دستگاه خودپرداز در معرض خطر استفاده نمود.
- فعالیت ATM مشکوک: با توجه به نقطهی اوج حجم تراکنش On-Us برای تجزیهوتحلیل PAN فعالیتهای غیرعادی قابل شناسایی هستند.
- فعالیت ATM مشکوک: با توجه به حجم پول و تجزیهوتحلیل حجم تحویل پول نقد خارجی غیرعادی نفوذ به دستگاه خودپرداز آشکار میگردد.
- فعالیت تراکنشی مشکوک: با توجه به تغییرات هدفدار و مشاهده حذف محدودهی برداشت پول نقد عاملال خطرآفرینی که به صورت دستی محدودهی برداشت پول نقد را تغییر میدهند شناسایی میگردند.
- فعالیت فرایند مشکوک: به صورت زمانبندی و برنامهریزیشده Host را تغییر میدهند که میتوان برای شناسایی یکی از تکنیکهای متداول مورد استفادهی Lazarus Group که مهاجمان با آن مرتبط بودند از آن بهره برد.
- فعالیت فرایند مشکوک: با هدف اجرای یک فایل قابل اجرا تغییرات انجام شده باشند.