NUOVE MINACCE

ATM e sicurezza: analisi delle vulnerabilità e strategie di cyber security

Sono sempre più alti i rischi cyber a cui sono sottoposti i dispositivi ATM, l’anello più debole della catena dell’infrastruttura per la sicurezza bancaria. È dunque necessario che le banche adottino una efficace strategia di cyber security per proteggere, monitorare in tempo reale e controllare gli sportelli bancomat

Pubblicato il 16 Set 2020

D
Rosvanna D’Amico

Product Engineer di Auriga

Si parla spesso degli attacchi informatici sui sistemi di home banking ma è giusto portare all’attenzione anche i rischi cyber a cui sono sottoposti i dispositivi ATM, che rappresentano l’anello più debole della catena dell’infrastruttura per la sicurezza bancaria, punto di accesso per i cyber criminali in tutto il mondo.

Secondo l’analisi “ATMIA Global Fraud and Security Survey 2019” sono in aumento gli attacchi agli ATM: il 58% degli intervistati ha dichiarato una crescita sia delle violazioni della sicurezza fisica che delle frodi.

ATM e sicurezza: le tipologie di attacco

Di quali attacchi stiamo parlando? Si tratta di Data Fraud (furto di dati personali, come ad esempio i numeri dei conti correnti e dei codici PIN), di Physical Fraud (attacco alle porte hardware allo scopo di estrapolare direttamente denaro contante) e di Cyber Fraud (attacchi logici ai sistemi e alle comunicazioni).

WHITEPAPER
Cyber Risk : la guida per gestire il rischio in banca
Sicurezza
Cybersecurity

In particolare, ci sono cyber attacchi poco noti ma molti diffusi: ATM jackpotting, Skimmer e Transaction Reversal Fraud. Pensiamo per esempio all’ATM jackpotting, una delle tecniche meno complicate di ATM Malware Cyber Attack, nella quale si sfruttano le porte hardware dell’ATM affinché esso eroghi contanti tramite l’utilizzo del malware.

La grande diffusione di questi attacchi è dovuta alla loro immediatezza nel raggiungere l’obiettivo e molte istituzioni finanziarie di tutto il mondo hanno perso ingenti somme a causa del jackpotting solo negli ultimi cinque anni.

Tra i malware più diffusi e pericolosi vi è anche Ploutous, identificato per la prima volta in un ATM Cyber Attack in Messico nel 2013. Da allora ha generato perdite per più di 400 milioni di euro a livello mondiale. Mentre l’attacco con skimmer – il device capace di leggere e in certi casi immagazzinare su una memoria EPROM o EEPROM, i dati della banda magnetica delle carte di credito – e il Transaction Reversal Fraud, solo in Europa, hanno generato dai 250 e i 350 milioni di euro di perdita ogni anno.

L’EAST (European Association for Secure Transactions) ha dichiarato che tali attacchi sono diventati la forma predominante di frode ATM in Europa, con oltre 5.000 incidenti nella prima metà del 2019, contro i poco meno di 2.000 dell’anno scorso, e che rappresentano il 45% di tutti gli attacchi commessi.

ATM e sicurezza: le cause delle vulnerabilità

Perché questo avviene? Perché gli ATM risultano essere così vulnerabili? I motivi sono tanti e includono il fatto che gli ATM gestiscono informazioni sensibili (come numeri di carte di debito e credito, e codici di accesso ai conti), che si trovano spesso in ambienti non custoditi o insufficientemente monitorati e che sono dotati di scarse misure di sicurezza logica.

Ma soprattutto dipende dalla diffusione di hardware e software obsoleti ed eterogenei nelle reti ATM. La scarsità di politiche di aggiornamento e l’uso diffuso di sistemi operativi non più aggiornabili rendono questi ambienti vulnerabili per natura.

Teniamo conto che molti di essi si basano ancora su Windows 7, sistema operativo che non riceve più aggiornamenti dalla casa madre e di conseguenza non garantisce più la protezione verso nuove minacce. Si stima che su circa il 40% degli ATM in tutto il mondo sia installato ancora Windows XP (sistema operativo ancor più obsoleto di Windows 7) che non viene più supportato da Microsoft dal 2014, rendendo queste macchine ancora più attaccabili.

Infine, esiste un punto debole – molto più complicato – rappresentato dall’XFS layer, l’interfaccia standard progettata affinché il software applicativo multivendor possa essere eseguito sugli ATM indipendentemente dall’hardware in uso dalla banca.

L’XFS layer utilizza API standard per comunicare con le applicazioni self-service; ciononostante, non è previsto un processo di autentificazione automatico, facendo in modo che i cyber criminali possano sfruttare l’interfaccia per avere accesso all’hardware dell’ATM – in particolare al cash dispenser per accedere al contenuto della cassaforte, al lettore delle carte per appropriarsi dei codici identificativi, e al tastierino per i codici PIN.

È necessario implementare strategie di sicurezza mirate

Da tutto questo si evince che le banche hanno necessità di implementare strategie di sicurezza mirate per gli ATM. Quando si tratta di sportelli bancomat, infatti, le tecnologie di protezione dell’endpoint generico – quali le soluzioni anti-malware – non sono sufficienti, poiché tali tecnologie nascono per proteggere i PC e i computer portatili.

Gli ATM invece sono dispositivi critici perché non possono essere disconnessi per un determinato periodo di tempo per essere riavviati così come si fa con un dispositivo mobile. Le reti e i sistemi degli ATM devono essere disponibili sempre – 24 ore su 24, 7 giorni su 7, per 365 giorni all’anno – e necessitano quindi di un approccio differente.

Inoltre, i criminali informatici si sono dimostrati sempre molto innovativi nel creare nuovi attacchi locali mirati, che risultano meno rischiosi e molto più redditizi degli attacchi fisici tradizionali.

L’applicazione di robuste ed efficaci contromisure di sicurezza per proteggere, monitorare e controllare gli ambienti ATM in maniera adeguata diventa quindi una necessità imprescindibile per il mondo bancario.

Soluzioni per mitigare i rischi

È dunque strategico, per la banca, adottare una soluzione di sicurezza centralizzata che protegga, monitori in tempo reale e controlli le reti e i dispositivi ATM.

Attraverso un’unica piattaforma, le banche possono così prevenire i tentativi di utilizzo di malware o l’esecuzione di attività fraudolente su ATM infetti.

Una soluzione di sicurezza ATM integrata, su diversi livelli di protezione, consente una gestione centralizzata della rete ATM e un’esecuzione remota di azioni, risparmiando tempo e risorse economiche.

Per limitare quindi i rischi di cyber attacchi una buona piattaforma deve essere in grado di:

  • verificare in real time i requisiti hardware e software;
  • proteggere le risorse, i dati, i processi e i dispositivi;
  • effettuare un monitoraggio proattivo, generando alert su possibili frodi e attivando azioni specifiche di sicurezza a seconda dell’evento scatenante;
  • verificare l’integrità di file e cartelle per impedire lo spoofing di file con scopi fraudolenti;
  • bloccare l’accesso non autorizzato alle risorse dei terminali self-service;
  • permettere la crittografia degli hard disk;
  • facilitare le analisi forensi e azioni operative per anticipare o reagire a potenziali attività fraudolente;
  • monitorare le comunicazioni in entrata e in uscita per ogni processo degli ATM, indirizzo remoto, protocollo e porta, fornendo funzionalità di firewalling di alto livello.

Infine, l’ascesa del cloud computing e di servizi basati su cloud, che consentono di accrescere l’efficienza, la flessibilità e la velocità di risposta alle esigenze del mercato e allo stesso tempo la gestione di grandi quantità di dati, mette le banche di fronte a nuove sfide da affrontare.

I servizi cloud consentono alle banche di migliorare la sicurezza dei loro dati e l’affidabilità dei loro sistemi, beneficiando di una potenza di calcolo significativamente maggiore, ma rendono necessario comprendere l’importanza di investire risorse per reagire di fronte a uno scenario di minacce in continua evoluzione, dove la cyber security deve diventare una priorità di business.

WHITEPAPER
La Top 5 delle minacce informatiche e come contrastarle
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Valuta questo articolo

La tua opinione è importante per noi!

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr