SICUREZZA

ATM Security: come funzionano gli attacchi ai bancomat e come prevenirli

Il caso Cosmos Bank ha riportato alla luce la necessità di implementare un piano di ATM Security per proteggere i Bancomat da nuovi e sempre più pericolosi cyber attacchi. Ecco cos’è successo e come le banche possono mettere in sicurezza i propri ATM

31 Ott 2018
I
Pierguido Iezzi

Swascan Cybersecurity Strategy Director e Co Founder

Gli ATM (gli sportelli bancomat, nel gergo comune: Automated Teller Machine) negli ultimi tempi hanno attirato sempre più spesso le attenzioni dei cyber criminali: per questo motivo le problematiche relative alla ATM Security hanno assunto una rilevanza notevole, soprattutto in seguito ad alcuni attacchi informatici proprio ai danni degli sportelli bancari automatici.

È importante, quindi, delimitare il perimetro di questa nuova emergenza criminale per meglio focalizzare quelli che sono i reali rischi per l’intera economia mondiale. Gli attacchi più eclatanti, finora, si sono verificati ai danni di vittime non occidentali: nell’articolo faremo riferimento ad un attacco informatico subito da una compagnia (una banca più precisamente) indiana. Tuttavia, nell’arco dell’ultimo biennio, il mirino dei cyber criminali sta puntando diversi obiettivi e queste limitazioni geografiche non sono più così marcate.

ATM Security: com’è fatto un Bancomat per scoprirne i punti deboli

Il bancomat, nell’immaginario comune, è uno strumento semplice e con uno scopo ben definito. Tuttavia, se analizzato più in profondità, ci si accorge di come esso sia composto da molteplici elementi che – alla fine dei conti – permettono di raggiungere quel semplice scopo.

WHITEPAPER
Previeni i difetti di sicurezza nelle applicazioni: la soluzione in 5 punti
Sicurezza
Software

Dove può essere vulnerabile un ATM? Gli access point sono molti e, di conseguenza, si moltiplicano le vulnerabilità di sicurezza. Nel dettaglio, un ATM è composto dai seguenti elementi:

  • il vault: l’acciaio che include diversi elementi atti a distribuire il contante e a controllare il contante stesso – oltre che la cassaforte stessa;
  • il lettore delle carte, siano esse a chip o a banda magnetica;
  • l’inner housing: custodia di acciaio situata all’interno del bancomat;
  • la stampante delle ricevute;
  • la CPU: questo elemento ha diverse funzioni. La Central Processing Unit permette infatti di gestire oltre che le comunicazioni anche l’user interface e le periferiche;
  • lo screen: ossia l’interfaccia che permette il “dialogo” ATM – user;
  • l’equipaggiamento di sicurezza: che comprende diverse componenti, tra cui sensori, telecamere ecc.;
  • il PIN pad: il sistema di crittografia che, crittografa appunto, il PIN;
  • il menu di navigazione: ciò che permette all’utente di sfruttare le funzioni rese possibili dalla macchina ATM;
  • il secure cryptoprocessor che, attraverso dei particolari algoritmi riesce a crittografare le comunicazioni.

Al fine di procedere con la nostra analisi è necessaria un’ulteriore postilla riguardante il CBS. Questa sigla è in realtà l’acronimo di un acronimo, una sorta di matrioska di acronimi. Infatti CBS sta per Core Banking System, ma CORE, a sua volta, è una sigla per identificare quattro diversi moduli operativi:

  • C: Centralized
  • O: Online
  • R: Real-time
  • E: Exchange

Una sorta di disastro grammaticale che sta ad indicare quel sistema che va a gestire molteplici operazioni come: prestiti, mutui, transazioni, pagamenti e via dicendo.

Siamo riusciti, con non poche difficoltà, a descrivere il perimetro delle operazioni. Come si può facilmente intuire, si tratta di un’infrastruttura di una complessità non banale. Questa, ovviamente, è la risposta tecnologica alle crescenti e sempre più pressanti esigenze degli utenti: garantire un servizio che possa sempre soddisfare il cliente e rispondere alle sue richieste di velocità, operatività multi-piattaforma ed efficienza per il quale è stato necessario implementare questo tipo di architettura.

Come si può dedurre, questa struttura non può essere priva di vulnerabilità, tutt’altro. Le vulnerabilità sono ben presenti e per fare in modo di avere la situazione sotto controllo è – come sempre – necessario predisporre un framework che garantisca risposte efficaci ed efficienti.

Il caso Cosmos Bank e l’importanza della ATM Security

Per offrire un chiaro esempio di quale sia, a livello pratico, la situazione dell’ATM Security è opportuno (per non dire necessario) offrire un esempio. Emblematico, a questo proposito, è il caso Cosmos Bank.

Prima di procedere con la descrizione specifica dell’attacco in questione, esplicitiamo le cifre. Solamente in questo modo ci si può rendere conto della dimensione di quanto avvenuto. In termini di transazioni: circa 800 transazioni autorizzate benché fraudolente. Da aggiungere: 450 carte di credito clonate. Queste clonazioni hanno portato a circa 12.000 transazioni a livello internazionale.

Ora parliamo di quanto avvenuto. L’evento in questione è abbastanza recente (risale allo scorso mese di agosto 2018) e si può ridurre a mo’ di titolo giornalistico in: “Hacker bersagliano la rete Swift/ATM della famosa banca indiana e rubano 13 milioni e mezzo di dollari”.

Ma, semplificazioni a parte, cosa è successo veramente? Sicuramente qualcosa di molto più complesso rispetto agli attacchi che siamo soliti “apprezzare”. Questo è facile poterlo affermare poiché le competenze tecniche per portare avanti un attacco di questo genere non sono per niente scontate.

L’attacco, infatti, opera a livello di CBS (l’acronimo di un acronimo che abbiamo eviscerato in precedenza): il CBS, lo ricordiamo, svolge moltissime funzioni cardine che hanno come terminale l’ATM. Inoltre, questo sistema garantisce alle filiali e agli ATM l’accesso all’applicazione centrale (questa applicazione centrale è, di fatto, gestita dai data center centrali). Abbiamo brevemente accennato in precedenza come un’architettura di questo genere possa essere soggetta a vulnerabilità, soprattutto relativamente al modulo Real-time del CORE di un CBS. Questi attacchi riescono a sfruttare al meglio proprio questa complessità insita nel sistema che abbiamo visto.

Analisi di un attacco agli ATM

Come si sono – a livello pratico – insidiati i cyber criminali all’interno del sistema? Non abbiamo, a questo proposito, una risposta certa. Tuttavia si possono avanzare delle idee plausibili che riguardano il classico sfruttamento di una vulnerabilità di un servizio di terze parti o l’ancor più classico phishing (questa campagna specifica potrebbe addirittura includere un malware).

Analizziamo gli sviluppi post-accesso: attraverso delle operazioni (probabilmente) di ingegneria sociale o di manomissione della produzione, gli hacker hanno “infilato” un proxy switch malevolo sull’ATM payment Switch. Ora inizia la parte veramente “divertente” – per non dire tragicomica: una vera e propria interruzione delle comunicazioni tra backend e sistema CBS a seguito di una vera e propria sostituzione da parte degli hacker.

Il sistema in uso non era più quello della banca ma quello sotto il controllo dei cyber criminali. A questo punto è facile intuire come ogni dato emesso dal payment switch in controllo dei criminal hacker non venisse spedito al sistema della banca. Questa metodologia permette di tagliare fuori completamente il sistema della banca e i relativi controlli circa PIN e simili. Una volta che non è più la banca a dare il consenso circa le transazioni, per gli attaccanti è iniziata la festa vera e propria.

A questo punto, è utile approfondire l’analisi in merito alle 12.000 transazioni internazionali a cui accennavamo prima. Il numero di queste transazioni è davvero molto elevato e possiamo affermare che le richieste di transazione (richieste TRQ) sono state, di fatto, autorizzate dagli hacker attraverso specifici messaggi di risposta alle transazioni (messaggi TRE). Per lo stesso principio che abbiamo visto prima, le richieste non avevano più nulla a che fare con il sistema originale gestito dalla banca. C’è da ammettere che i cyber criminali in questo specifico attacco hanno elaborato un sistema geniale per tagliare fuori ogni tipo di controllo. Ciliegina sulla torta: non essendo, le richieste, di pertinenza della banca – poiché non inoltrate al sistema centrale – gli attaccanti riuscivano a rispettare la compliance a ciò che richiede lo standard internazionale per le transazioni elettroniche (ISO 8583).

ATM Security: l’importanza di un framework di sicurezza

Arrivati a questo punto, non dovremmo aggiungere più nulla per convincere qualcuno circa la necessità di predisporre un ATM Security Framework. Il Dark Web, per un potenziale malintenzionato, è come un parco giochi: vi si può trovare di tutto e, purtroppo per le banche in questo caso, anche gli strumenti “chiavi in mano” già pronti per effettuare cyber attacchi. L’adozione di un framework efficace, dunque, rappresenta un vero e proprio punto focale per la guerra contro i cyber risk. È fondamentale comprendere all’interno di questo framework tutti e tre i livelli di sicurezza: preventiva, proattiva e predittiva.

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr