Finanční ústavy zavádějí protiopatření proti novému typu útoku
Finanční instituce provozující bankomaty od firmy Diebold Nixdorf ohrožují nové typy útoků. Z testů provedených našimi experty vyplývá, že stávající zařízení s neaktualizovaným systémem nejsou schopna napadením odolat.
Zveřejněno dne: 14. 08. 2020
Platební terminály cílem útoků
Útoky na platební terminály, které hojně používají i bankovní domy v České republice a na Slovensku, byly nedávno zaznamenány v mnoha evropských zemích.
O testování svých bankomatů požádala naše specialisty, předního poskytovatele kybernetického zabezpečení, významná slovenská finanční instituce. Učinila tak poté, co společnost Diebold Nixdorf, jeden z největších dodavatelů bankomatů, na útoky zareagovala oficiálním bezpečnostním varováním. Z něho mimo jiné vyplývá, že výrobce zařízení zkoumá, jak je možné, že útočníci byli zřejmě schopni na neaktualizované verzi bankomatu odposlouchávat komunikaci uvnitř zařízení.
Při testování byla simulována krok za krokem činnost útočníka. Nejnovější incidenty spadají do kategorie označované jako ATM jackpotting, kdy se útočník dostane pod kryt vybraného zařízení. Zde se pak za pomoci vlastního, speciálně upraveného zařízení připojí na USB port bankomatu a komunikuje přímo s dispenserem, tedy zařízením, které z bankomatu vydává hotovost. Další prověřovanou variantou útoku byla ta, při níž se útočník po připojení k USB portu bankomatu pokusí povýšit svá přístupová práva na úroveň administrátora tak, aby následně mohl obcházet restrikce pro nahrání vlastního kódu.
„Ověřili jsme si, že člověk, který ví, kde hledat, se ke skrytému USB portu bankomatu dostane v řádu sekund," upozorňuje Tomáš Sláma, šéf penetračních testerů společnosti Aricoma, a dodává: „Výsledkem bylo zjištění, že ty bankomaty, které neměly aktualizovaný firmware, nejsou dostatečně odolné proti takovému typu útoku, a lze z nich neoprávněně čerpat hotovost."
To je podle Tomáše Slámy důvodem, proč by si měla každá zodpovědná banka nechat pravidelně ověřovat odolnost svého zařízení proti nejrůznějším typům zranitelností odborníky tak, jako to v tomto případě učinil jeden z bankovních domů na Slovensku.
O testování svých bankomatů požádala naše specialisty, předního poskytovatele kybernetického zabezpečení, významná slovenská finanční instituce. Učinila tak poté, co společnost Diebold Nixdorf, jeden z největších dodavatelů bankomatů, na útoky zareagovala oficiálním bezpečnostním varováním. Z něho mimo jiné vyplývá, že výrobce zařízení zkoumá, jak je možné, že útočníci byli zřejmě schopni na neaktualizované verzi bankomatu odposlouchávat komunikaci uvnitř zařízení.
Při testování byla simulována krok za krokem činnost útočníka. Nejnovější incidenty spadají do kategorie označované jako ATM jackpotting, kdy se útočník dostane pod kryt vybraného zařízení. Zde se pak za pomoci vlastního, speciálně upraveného zařízení připojí na USB port bankomatu a komunikuje přímo s dispenserem, tedy zařízením, které z bankomatu vydává hotovost. Další prověřovanou variantou útoku byla ta, při níž se útočník po připojení k USB portu bankomatu pokusí povýšit svá přístupová práva na úroveň administrátora tak, aby následně mohl obcházet restrikce pro nahrání vlastního kódu.
„Ověřili jsme si, že člověk, který ví, kde hledat, se ke skrytému USB portu bankomatu dostane v řádu sekund," upozorňuje Tomáš Sláma, šéf penetračních testerů společnosti Aricoma, a dodává: „Výsledkem bylo zjištění, že ty bankomaty, které neměly aktualizovaný firmware, nejsou dostatečně odolné proti takovému typu útoku, a lze z nich neoprávněně čerpat hotovost."
To je podle Tomáše Slámy důvodem, proč by si měla každá zodpovědná banka nechat pravidelně ověřovat odolnost svého zařízení proti nejrůznějším typům zranitelností odborníky tak, jako to v tomto případě učinil jeden z bankovních domů na Slovensku.
Jak na to reagujeme?
Naši etičtí hackeři se za dobu svého působení etablovali jako špička v oboru kybernetické bezpečnosti. Díky svým rozsáhlým zkušenostem, znalostem a erudici dokážou otestovat zabezpečení systému jakéhokoli bankomatu, a proto jsou pravidelně oslovováni řadou předních světových společností z oblasti bankovnictví. Náš tým poskytuje komplexní bezpečnostní audit, na jehož základě je schopen klienta upozornit na slabá místa v systému testovaného zařízení a nabídnout mu doporučení, jak zabezpečení nastavit lépe, a výrazně tím snížit riziko zneužití.
„V tomto případě klientům po otestování jejich zařízení jednoznačně doporučujeme aktualizovat firmware," říká šéf penetračních testerů a upřesňuje: „Aktualizace zvyšuje úroveň zabezpečení komunikace mezi systémem, který povoluje vydání peněz, a dispenserem. Po její instalaci již zařízení neakceptuje podvržené příkazy útočníka."
„V tomto případě klientům po otestování jejich zařízení jednoznačně doporučujeme aktualizovat firmware," říká šéf penetračních testerů a upřesňuje: „Aktualizace zvyšuje úroveň zabezpečení komunikace mezi systémem, který povoluje vydání peněz, a dispenserem. Po její instalaci již zařízení neakceptuje podvržené příkazy útočníka."
NEVÁHEJTE, KONTAKTUJTE NÁS.
Máte zájem o další informace nebo o nabídku pro vaši konkrétní situaci?
-
Co zatím dokáží AI jazykové modely?
-
Nechovejme se jako hackeři
-
Kritická zranitelnost Log4j a hrozba její exploitace
-
Red Teaming Operations aneb povolení krást, lhát a podvádět
-
Závažné důsledky zranitelnosti v Microsoft Exchange Server
-
Útok na SolarWinds
-
HackingLab – Vítejte ve světě etických hackerů
-
Hacknutý Facebook
-
Naše vyjádření k Meltdown a Spectre zranitelnostem
-
The Panama Papers leak
-
Křehkost IT systémů a nebezpečí jediné chyby
-
Umělá inteligence jako zbraň v rukou útočníků. Naučme se je odhalit.
-
Jak oživit bezpečnostní školení a udělat čtení dokumentů zábavnějším?
-
Školením uživatelů eliminujme novou taktiku kybernetických útoků. Jako ve fotbale.
-
Nebezpečná rychlost
-
O.MG USB kabely a jejich použití v praxi, máme se čeho bát?
-
Vlna vishingu
-
Zachytili jsme novou plošnou phishing-malware kampaň
-
Juice Jacking
-
Masivní nárůst cílených útoků, deepfake i hacktivismus
-
Smítko
-
Ponaučení z jednoho předvánočního pokusu o podvod
BUĎTE U TOHO
Přihlaste se k odběru našich newsletterů, ať vám nic podstatného neuteče.