Durante muitos anos, a maior ameaça aos clientes e proprietários de caixas eletrônicos foram os skimmers, ou dispositivos especiais que, conectados à máquina, roubam dados das tarjas magnéticas de cartões. Porém, com a evolução das técnicas, os caixas eletrônicos ficaram expostos a outros riscos.
Em 2014, os pesquisadores da
Kaspersky Lab descobriram o
Tyupkin, um dos primeiros exemplos amplamente conhecidos de malware direcionados a caixas eletrônicos. Em 2015, identificaram o grupo
Carbanak que, entre outras coisas, era capaz de roubar caixas violando a infraestrutura bancária. Ambos os ataques foram possíveis graças à
exploração de diversas falhas na tecnologia dos caixas eletrônicos e na infraestrutura subjacente – e isto é apenas a ponta do iceberg.
Com objetivo de mapear problemas de segurança nos caixas eletrônicos, especialistas em testes de penetração da Kaspersky Lab investigaram ataques reais e avaliações de segurança de caixas eletrônicos de vários bancos internacionais. Os resultados da pesquisa destacaram duas principais falhas de segurança que permitem esses ataques de malware contra caixas eletrônicos:
Software antigos e desatualizados: todos os computadores dos caixas eletrônicos executam versões muito antigas dos sistemas operacionais, como por exemplo o Windows XP. Isso os torna vulneráveis a infecções por malware e exploits. Além disso, na grande maioria dos casos, o software que permite a interação entre computador do caixa eletrônico, infraestrutura e hardware do banco para processamento de valores e cartões de crédito é baseado em XFS. Este formato é antigo, inseguro e foi criado originalmente para padronizar um software compatível com todos os caixas eletrônicos, independente do fabricante. Porém, ele não exige autorização para processar comandos, ou seja, qualquer aplicativo instalado ou executado no caixa eletrônico pode gerar comandos para os hardware da máquina, incluindo o leitor de cartão ou o compartimento de liberação de dinheiro.
Quando um malware consegue infectar o caixa eletrônico, consegue acesso a funcionalidades de controle do equipamento praticamente ilimitadas: é capaz de transformar o teclado e o leitor de cartão em um skimmer “nativo” ou disponibilizar todo o dinheiro armazenado no caixa eletrônico mediante um comando do hacker.
Segurança física: em muitos casos, os pesquisadores da Kaspersky Lab observaram que não é necessário o uso de um malware para infectar o caixa eletrônico ou a rede do banco, pois é comum que não haja segurança física nos próprios caixas eletrônicos.
Muitas vezes, a construção e a instalação deles permitem o fácil acesso de terceiros ao computador interno ou ao cabo de rede que conecta a máquina à internet. Ao acessar fisicamente o caixa eletrônico, mesmo que de forma parcial, os criminosos conseguem instalar microcomputadores (chamados de caixas pretas) para ter acesso remoto à máquina ou conectar o caixa eletrônico a um centro de processamento pirata.
O centro de processamento fraudulento consiste em um servidor idêntico ao servidor do banco, apesar de não pertencer ao banco, para processar os dados de pagamento. Quando o caixa eletrônico é conectado a ele, os invasores podem emitir qualquer comando. E o aparelho obedece.
É possível proteger a conexão entre os caixas eletrônicos e o centro de processamento de várias maneiras: usar um hardware ou software de VPN, criptografia SSL/TLS, firewall ou autenticação MAC, implementada em protocolos xDC. No entanto, essas medidas não são implementadas com frequência e os criminosos não precisam lidar com o hardware, apenas explorar os pontos fracos na comunicação da rede entre o caixa eletrônico e a infraestrutura do banco.
Na opinião de Olga Kochetova, especialista em testes de penetração da Kaspersky Lab, apesar de fornecedores estarem tentando desenvolver caixas eletrônicos com recursos de segurança mais eficientes, muitos ainda pecam em utilizar modelos antigos e inseguros, o que os deixa vulneráveis a ataques, que desafiam ativamente a segurança destes dispositivos.
“Essa é a realidade atual, que provoca enormes prejuízos financeiros para os bancos e seus clientes. Acreditamos que isso seja consequência de uma convicção infundada de muitos anos, há de que os cibercriminosos teriam interesse apenas em ataques contra os bancos on-line”, comenta.
