Novo e surpreendente ataque de crackers a caixas eletrônicos

Um novo ataque cracker chegou aos Estados Unidos e, ao que parece, é mais interessante para os cibercriminosos: em vez de roubar dados bancários de cidadãos via skimmer (também conhecido como chupa-cabra no Brasil), é realizado um crack diretamente no caixa eletrônico, que expele notas de dinheiro conforme o comando.

Até o momento, não há relatos de que o golpe tenha desembarcado em qualquer país da América Latina. Porém, no Brasil, os chupa-cabras são comuns: é preciso ficar atento em qual terminal você passa seu cartão de crédito — máquinas com tamanho avantajado, falta de luzes indicadoras e cartão “entrando fundo” na máquina são alguns dos indicadores de chupa-cabra.

 

Os ataques identificados fazem com que os caixas eletrônicos consigam cuspir 40 notas a cada 23 segundos

De acordo com o Krebs on Security, a nova técnica de crackear caixas eletrônicos se chama “Jackpotting” e ela funciona da seguinte maneira: um criminoso realiza um acesso físico à máquina (computador dentro do caixa) e substitui o disco rígido. Dessa maneira, por meio de um endoscópio industrial, ele encontra e pressiona um botão dentro da caixa que faz um reset no sistema. Com acesso ao sistema, um software malicioso é instalado e, a partir deste ponto, comandos para o caixa expelir dinheiro são realizados.

Os ataques desse tipo são mais comuns em países da Europa e Ásia, porém, começaram a chegar aos Estados Unidos. Como o Krebs on Security nota, os ataques identificados fazem com que os caixas eletrônicos consigam cuspir 40 notas a cada 23 segundos.

Fonte: Tecmundo

Crackers usam nova técnica para roubar caixas eletrônicos

Um caixa eletrônico vazio: sem sinal de dinheiro, nem vírus, com ausência também de vestígios de intervenção física bruta (como a quebra do gabinete ou até mesmo as já tradicionais explosões que obrigaram bancos a usar uma tinta especial para manchar as notas). O mistério sobre como as notas desapareceram torna o roubo um sucesso e também uma dor de cabeça para especialistas em segurança.

Segundo a Kaspersky Lab, foram necessárias cinco semanas de trabalho em laboratório com engenharia reversa para entender as ferramentas usadas pelos criminosos e reproduzir o ataque que resultou na descoberta de uma violação de segurança em caixas eletrônicos usados pela instituição bancária — que pediu sigilo de alguns detalhes, como os fabricantes das máquinas de autoatendimento (ATM) ou o nome do banco que sofreu o roubo.

Durante o Security Analyst Summit (SAS), evento que acontece nos dias 3 e 4 de abril, na Ilha de São Martinho (Caribe), especialistas da Kaspersky aprofundaram os resultados da análise e mostraram que os criminosos se conectam com computadores das empresas bancárias para acionar funções dos caixas remotamente. A conexão com a máquina é feita via hardware — ao todo, o valor de um kit com uma pequena placa matriz, um teclado sem fio com um dongle USB/Bluetooth e uma bateria custa menos que US$ 15.

Para tudo dar certo, é necessário fazer um furo simples e pequeno suficiente para introduzir o acessório dentro do gabinete, sem causar muitos danos aparentes ou ativar alertas de violação comuns em golpes mais tradicionais que usam malwares. Para disfarçar a intervenção, criminosos podem cobrir os buracos com adesivos ou mesmo deixar fios expostos, já que muitas das máquinas são antigas e estão em uso desde 1990.

Os caixas eletrônicos têm sido alvo de todos os tipos de golpes. Desprotegidos à noite, viram presa fácil de quem domina intervenções de hardware. Tal crime foi visto apenas duas vezes: uma no Cazaquistão e outra na Rússia.

Como funciona?

O acesso remoto é feito a partir de um teclado de notebook ou via Bluetooth, e executado com ajuda da placa dentro do caixa eletrônico. O pacote sem cabos e conexões externas permite aos invasores digitar uma lista de comandos que começa com a coleta de informações sobre o número de notas disponíveis para o saque. Com esse dado em mãos, o golpe ainda permite aos criminosos sacar o dinheiro a qualquer momento desde que o kit não seja descoberto e desfeito pelo banco alvo.

“Você pode fazer qualquer coisa com um computador, um cabo [ou Bluetooth] e um buraco no gabinete do caixa eletrônico. O caixa eletrônico vai aceitar todos os comandos e dispensar dinheiro de forma simples, usando apenas um microcomputador”, explica o analista de segurança Sergey Golovanov. Neste caso, a solução é desfazer a gambiarra do ladrão, já que não é possível, via software, bloquear as ordens enviadas pelo computador do invasor.

Golovalov e o também pesquisador Igor Soumenkov mostraram em um vídeo como é rápido liberar as notas após a instalação do kit e executando os comandos necessários. A rapidez do processo deixou os participantes do evento alarmados. Foi mais veloz que uma operação tradicional feita por um cliente comum.

A lição é de que, ainda que a proteção via software seja mais complexa, fica evidente a necessidade de uma segurança maior para os caixas eletrônicos a fim de evitar intervenções físicas que dispensam vírus. A prisão desse tipo de cibercriminoso que trabalha com hardware, sem rastreio da ação — já que não há transação bancária online — só ocorre com acompanhamento das câmeras de vigilância local e trabalho policial.

Fonte: Techtudo

Você usa caixas eletrônicos? Está cada vez mais arriscado…saiba porque

atm-jackpottingCaixas automáticos ou ATMs sempre foram um dos principais alvos de criminosos. No passado, atacar um ATM incluía aparatos pesadas como maçaricos e explosivos. No entanto, com a aurora da Era Digital, tudo mudou. Os criminosos de hoje podem atingir o mesmo objetivo sem esses efeitos especiais.

Olga Kochetova, especialista em testes de infiltração da Kaspersky Lab, explicou os motivos pelos quais os caixas são tão vulneráveis, em sua palestra “Formas de roubar ATMs com e sem malware.”

1. Em primeiro lugar, ATMs são basicamente computadores. Eles consistem em um número de sistemas eletrônicos, incluindo controles industriais, porém sempre há um computador comum no núcleo do sistema.

2. Além disso, é bem provável que esse computador seja controlado por um Sistema operacional bem antigo como o Windows XP. Você provavelmente já sabe o que tem de errado nisso: o XP não recebe mais suporte da Microsoft, então qualquer vulnerabilidade encontrada depois que o suporte foi interrompido jamais será corrigida. E você pode ter certeza que existem MUITAS como essa.

3. É possível que existam diversos programas vulneráveis sendo executados em sistemas de ATMs. Desde flash players desatualizados com mais de 9000 erros conhecidos até ferramentas de administração remota e muito mais.

4. Fabricantes de ATMs tendem a acreditar que sempre estão operando em “condições normais” e nada pode dar errado. Desse modo, dificilmente existe qualquer controle de integridade de software, solução de antivírus ou autenticação por aplicativo que envie comandos para o distribuidor de notas.

5. Em contraste às unidades de depósito e entrega de dinheiro que estão sempre bem protegidas e trancadas, a parte do computador de um ATM é facilmente acessível. Seu envoltório tende a ser feito de plástico, ou de metal fino na melhor das hipóteses, além de trancado com uma fechadura simples demais para barrar criminosos. A lógica dos fabricantes é a seguinte: se não tem dinheiro nessa parte, por que se importar em como mantê-la?

6. Módulos de ATM são interconectados com interfaces padrão, como portas COM e USB. Às vezes essas interfaces são acessíveis de fora da cabine do ATM. Se não, basta lembrar do problema anterior.

7. Por natureza, ATMs tem de estar conectados – e sempre estão. Já que a Internet é o meio mais barato de comunicação nos dias de hoje, bancos a usam para conectar os caixas aos centros de processamento.

Considerando todos os problemas mencionados, existem muitas oportunidades para os criminosos. Por exemplo, eles podem criar um malware, instalá-lo no sistema do ATM e sacar dinheiro. Esses trojans aparecem regularmente. Por exemplo, há um anofoi descoberto um chamado Tyupkin.

Outra forma é usar programas adicionais que podem ser conectados às portas USB dos caixas eletrônicos. Para provar sua ideia, Olga Kochetova e Alexey Osipov, usaram um pequeno computador Raspberry Pi, equipado com adaptador Wi-Fi e bateria. Veja o vídeo abaixo para saber o que aconteceu depois.

Um ataque por meio da Internet pode ser ainda mais perigoso. Criminosos podem estabelecer centros de processamentos de dados falsos, ou tomarem um verdadeiro. Nesse caso, criminosos podem roubar diversos ATMs sem precisarem ter acesso a seu hardware. Foi exatamente isso que os hackers do grupo Carbanak conseguiram fazer: eles obtiveram controle sobre PCs críticos nas redes de bancos e depois disso, foram capazes de enviar comandos diretos para os ATMs.

No fim, bancos e fabricantes de ATMs deviam ser mais atenciosos com a segurança das máquinas bancárias. Eles precisam reconsiderar tanto os softwares e medidas de segurança de hardware, produzir uma infraestrutura de rede segura e por aí vai. Também é importante que os bancos e fabricantes reajam rápido às ameaças e colaborem intensivamente com agências reguladoras da lei e empresas de segurança.

Fonte: Kaspersky blog

Cibercriminosos usam da biometria para aplicar golpes em caixas eletrônicos

caixaeletronicoEspecialistas da Kaspersky Lab têm realizado investigações para detectar novas artimanhas dos cibercriminosos para aplicar golpes de autenticação em caixas eletrônicos e uma delas já chega à biometria. Considerada pelas organizações financeiras uma das soluções mais promissoras na verificação de dados, criminosos veem na identificação biológica oportunidade de roubo de informações sigilosas.

Caixas eletrônicos são visados por fraudadores para obter dados de cartões de crédito há anos, e teve início com simples skimmers – dispositivos caseiros conectados ao terminal para roubar informações da fita magnética e o código PIN do cartão com ajuda de webcams ou teclados falsos.

Contudo, ao longo do tempo, explica a empresa de segurança, o design desses dispositivos foi aprimorado de modo a torná-los menos perceptíveis. Com a implementação de cartões de pagamento com chip e código, a clonagem foi dificultada, porém não impossibilitada, uma vez que a evolução também migrou para os golpes, ao serem criados os ‘shimmers’ – artefatos muito parecidos, mas capazes de coletar informações suficientes do chip do cartão para realizar ataques de retransmissão on-line. Em resposta, o setor bancário tem usado novas soluções de autenticação, algumas baseadas na biometria.

De acordo com pesquisa realizada pela Kaspersky Lab no submundo do crime virtual, já existem pelo menos 12 vendedores oferecendo skimmers capazes de roubar impressões digitais das vítimas. E pelo menos três negociadores clandestinos estão pesquisando dispositivos para obter ilegalmente dados de sistemas de reconhecimento de impressões das palmas das mãos e da íris.

A primeira remessa de skimmers biométricos passou pela fase de “testes pré-venda” em setembro de 2015. Evidências coletadas pelos pesquisadores da Kaspersky Lab mostram que, durante avaliações iniciais, os desenvolvedores descobriram vários bugs. No entanto, o principal problema foi o uso de módulos GSM para a transferência de dados biométricos, considerada muito lenta para o grande volume de dados obtidos. Assim, novas versões dos skimmers usarão tecnologias de transferência de dados mais rápidas.

Também há sinais de discussões em comunidades secretas que indicam o desenvolvimento de aplicativos móveis baseados na colocação de máscaras sobre a face das pessoas. Com esse método, invasores podem pegar fotos de potenciais vítimas postadas nas mídias sociais e usá-las para enganar os sistemas de reconhecimento facial.

Fonte: ITForum 365

Caixas eletrônicos obsoletos expõe usuários a riscos

atmsEles são antigos, equipados com sistemas operacionais desatualizados (Windows XP ou 2000) e muitas vezes têm cabos expostos e redes mal instaladas. O descuido dos bancos com os caixas eletrônicos na América Latina facilita a vida dos criminosos que investem cada vez mais em técnicas sofisticadas para roubar dinheiro destas máquinas.

O alerta foi revelado hoje pela empresa de segurança Kaspersky durante conferência que acontece em Los Cabos, no México. Segundo os dados, esta prática afeta principalmente México, Colômbia e Brasil, que foi palco para uma ação tão complexa que roubou 107 caixas eletrônicos com apenas um ataque. “A situação não é boa”, lamenta o analista sênior Fábio Assolini.

Além da má qualidade dos caixas eletrônicos, outro fator contribui para este tipo de crime: a corrupção. De acordo com Assolini, há funcionários que vazam informações confidenciais sobre o funcionamento das máquinas, detalhando o procedimento necessário para a invasão do sistema, a consequente manipulação do software – que já não tem suporte da fabricante e fica suscetível a falhas – para, enfim, obter o acesso ao dinheiro.

O passo a passo até o roubo

Houve um tempo em que os ataques eram feitos com CD’s e USB’s. Atualmente, a forma mais sofisticada de acesso ilegal aos caixas eletrônicos atende pela sigla APT em inglês, (Ameaça Persistente Avançada, na tradução livre). Ela pode acontecer de duas formas, externa ou interna, sendo que no primeiro caso a programação maliciosa das máquinas é feita geralmente a partir de dados vazados. Já no segundo, conhecido como ataque dirigido, o processo é mais complexo.

Após uma análise minuciosa das atividades de um banco, os ataques dirigidos se infiltram na rede da empresa usando iscas aparentemente inofensivas, como e-mails acompanhados de arquivos comuns anexados. Estes arquivos, quando abertos, exploram uma vulnerabilidade no software instalado na máquina do funcionário escolhido como “porta de entrada” da ação. “O ataque vai ser pensado e vai mirar quem não costuma ter conhecimento técnico, por exemplo o pessoal do RH ou do administrativo”, explica o analista.

Uma vez infectado o computador do funcionário, começa uma outra etapa chamada “movimento lateral”, quando o vírus “pula de galho em galho” até alcançar o alvo na empresa que detém as informações desejadas. A partir daí, devidamente infiltrado, o criminoso aprende o funcionamento do software e expande a atuação para a rede de caixas eletrônicos do banco, infectando-os individualmente ou de maneira generalizada.

Um dos casos mais famosos envolvendo este método foi descoberto no ano passado. Um grupo chamado Carbanak aplicou o passo a passo citado acima para programar caixas eletrônicos para que eles liberassem dinheiro sem qualquer comando físico. “O criminoso chegou próximo do caixa, com a mochila e o telefone celular, e, sem encostar em nada, o caixa eletrônico a começou a ‘cuspir’ dinheiro. Parece coisa de filme”, descreve Assolini. O resutado da ação foi um roubo expressivo de US$ 1 bilhão.

Brasil à frente

Apesar das crescentes ameaças, o Brasil é considerado o mercado mais maduro da América Latina no combate às fraudes online. “Eles [os bancos brasileiros] continuam usando sistemas antigos, mas tentam contornar o problema protegendo o caixa eletrônico com um software específico para limitar execuções pré-aprovadas. E isso tem sido suficiente”, analisa. As estatísticas são favoráveis: embora tenha mais caixas eletrônicos instalados que o México, o Brasil contabiliza menos ataques que o vizinho.

Para piorar o cenário, o tema é velado no Brasil. Segundo Assolini, os bancos controlam as informações relacionadas aos casos de roubo e dificultam os estudos acerca do assunto. Já os cibercriminosos, por sua vez, fazem a lição de casa e mantêm-se constantemente atualizados sobre as técnicas de ataque, em contato com correspondentes europeus nos fóruns online – geralmente de forma anônima. Entretanto, é possível encontrar na internet equipamentos à venda para facilitar os golpes externos.

Perigo à vista

Engana-se quem acha que o roubo de caixas eletrônicos pode causar dor de cabeça apenas aos bancos. Segundo Assolini, há uma nova ameaça na Europa, chamada Skimmer, que repete todo o processo mencionado acima e ainda clona os cartões dos clientes que usam as máquinas. E, segundo ele, ela está a caminho do Brasil.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Olhar Digital

Crackers usam celular para roubar R$ 7 milhões de caixas eletrônicos

ATMDois ou três crackers podem ter roubado mais de US$ 2 milhões (R$ 7 milhões) a partir de caixas eletrônicos usando nada mais que um smartphone. O ataque aconteceu no último domingo (17), em Taiwan, segundo informa o “The Register”. De acordo com a polícia, os criminosos invadiram dezenas de caixas da ATM, operados pelo banco First Bank, e usaram um “dispositivo conectado”, como um celular.

Os caixas da ATM, fabricados pela companhia alemã Wincor Nixdorf, já foram vítimas de um “ataque premeditado” – três tipos diferentes e não especificados de malware já foram encontrados no software das máquinas. Para Craig Young, um pesquisador da empresa Tripwire especializado em segurança, uma técnica demonstrada ainda em 2010 durante o Black Hat, nos EUA, pode ter sido usada pelos turistas supostamente russos, que deixaram o país asiático logo após o roubo.

“Alguns caixas eletrônicos contam com senhas-padrão conhecidas e, em muitos casos, os ladrões podem acessar portas USB para infectar a máquina com um malware a partir de uma unidade flash. A julgar pela descrição do crime, os hackers provavelmente usaram um vírus que já tinha sido instalado, permitindo a conexão sem fio através de um ‘jackpot’ nas máquinas da ATM”, sugere Young.

Segundo a Wincor Nixdorf, “ataques premeditados” de fato já foram realizados sobre os terminais. Ainda conforme admite a fabricante, há indícios de que os caixas da ATM foram o ponto primário da infecção por malware. “Como a investigação ainda está sendo realizada, não podemos fornecer detalhes”, informou a companhia alemã, que enviou especialistas em segurança ao local dos ataques para auxiliar as autoridades taiwanesas.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Tecmundo

Caixas eletrônicos se tranformam em foco das ações de criminosos

biometria-atmPrimeiro malware desenvolvido para caixas eletrônicos, tanto o programa malicioso quanto o grupo de língua russa Skimer evoluíram após sete anos inativos e as vítimas não conseguem saber que foram roubadas

Durante uma investigação, a equipe de especialistas da Kaspersky Lab decifrou o plano criminoso e descobriu uma versão aprimorada do malware Skimer. Desenvolvido por um grupo de língua russa em 2009, ele foi o primeiro programa para roubar dinheiro de caixas eletrônicos. Sete anos depois, tanto os cibercriminosos quanto o código evoluíram e se tornaram uma ameaça ainda maior para bancos e clientes de dez localidades ao redor do mundo, incluindo o Brasil.

A primeira ação do grupo é obter acesso ao sistema do caixa eletrônico fisicamente ou por meio da rede interna do banco. Após a instalação do Backdoor.Win32.Skimer no sistema, ele infecta o núcleo do caixa eletrônico: o executável responsável pelas interações da máquina com a infraestrutura bancária, processamento de valores e de cartões de crédito. Uma vez bem-sucedido, ele se mantém inativo até segunda ordem – uma forma inteligente de ocultar sua presença.

Os criminosos têm total controle dos caixas eletrônicos infectados, mas agem com cuidado e precisão. Em vez de instalar dispositivos skimmer (falso leitor de cartão sobre o dispositivo legítimo, também conhecidos como chupa-cabras) para desviar os dados dos cartões, esta nova versão transforma o caixa eletrônico todo em um coletor de dados e também pode ser usada para sacar o dinheiro disponível ou para clonar os cartões de créditos usados na máquina – ele consegue inclusive roubar o número das contas bancárias e as senhas das vítimas. É impossível perceber que o caixa eletrônico está infectado, pois neste caso não há alteração nenhuma no leitor de cartão da máquina.

Zumbis pacientes

Sacar todo o dinheiro entregará imediatamente a presença de uma anomalia no caixa eletrônico. Dessa forma, os criminosos do Skimmer passaram a agir com paciência e cuidadosamente para esconder seus rastros e ficar espionando os dados de cartões por muito tempo e com segurança: o malware pode operar nos caixas eletrônicos por vários meses sem qualquer atividade.

Para acioná-lo, o criminoso insere um cartão especial com registros específicos na fita magnética. Após ler os registros, os criminosos podem executar o comando inserido no código ou selecionar as ações por meio de um menu especial ativado pelo cartão. A interface gráfica do Skimer só será apresentada após o cartão ser retirado e o criminoso inserir a senha correta pelo teclado em menos de 60 segundos.

A Kaspersky Lab identificou 21 comandos diferentes, como por exemplo, sacar o dinheiro (40 notas de uma gaveta específica), coletar os dados dos cartões inseridos, se autoexcluir, executar uma atualização (a partir do código do malware atualizado incorporado no chip do cartão), entre outros. Além disso, ao coletar os dados do cartão, o Skimer pode salvar o arquivo com os dados coletados e senhas no chip do mesmo cartão ou pode imprimi-los pelos recibos do próprio caixa eletrônico.

Na maioria dos casos, os criminosos optam por aguardar os dados coletados para depois clonar os cartões. Eles usam esses clones em caixas eletrônicos não infectados e, naturalmente, sacam o dinheiro das contas dos clientes. Dessa maneira, os criminosos garantem que os caixas eletrônicos infectados não sejam descobertos.

Ladrões experientes

O Skimer foi amplamente distribuído entre 2010 e 2013 e seu surgimento causou um aumento drástico no número de ataques em caixas eletrônicos, sendo detectado pela Kaspersky Lab por meio de nove famílias de malware diferentes. Elas incluem a Tyupkin, descoberta em março de 2014, que acabou se tornando a mais popular e difundida. Mas agora o Backdoor.Win32.Skimer está em plena atividade. A Kaspersky Lab já identificou 49 modificações deste malware, sendo que 37 delas visam caixas eletrônicos de apenas um dos principais fabricantes. A versão mais recente foi descoberta no início de maio de 2016.

Por meio das amostras enviadas para a VirusTotal, observamos uma distribuição geográfica muito ampla dos caixas eletrônicos possivelmente infectados. As 20 amostras mais recentes da família Skimer vieram de mais de dez locais ao redor do mundo: Emirados Árabes Unidos, França, EUA, Rússia, Macau, China, Filipinas, Espanha, Alemanha, Geórgia, Polônia, Brasil e República Checa.

Como evitar este golpe

Para evitar esta ameaça, a Kaspersky Lab recomenda a realização periódica de verificações de ameaças com uma solução antimalware, acompanhadas da utilização de tecnologias de whitelisting (lista branca), uma política sólida de gerenciamento de dispositivos, criptografia completa do disco, proteção da BIOS dos caixas eletrônicos por meio de senha, permissão somente para a inicialização do HDD e isolamento da rede de caixas eletrônicos de qualquer outra rede interna do banco.

“Há mais uma preocupação importante a ser tomada neste caso específico. O Backdoor.Win32.Skimer verifica as informações (nove números específicos) inseridas no código da fita magnética do cartão para determinar se ele deve ser ativado. Nós descobrimos os números codificados utilizados pelo malware e os compartilhamos com todos os bancos, seja eles vítimas ou não. Com posse dessa informação, eles podem procurar proativamente em seus sistemas de processamento e detectar caixas eletrônicos infectados e os ‘laranjas’ usados. É possível inclusive usar os códigos para bloquear qualquer tentativa de ativação do malware”, explicou Sergey Golovanov, pesquisador-chefe de segurança da Kaspersky Lab.
Os produtos da Kaspersky Lab identificam esta ameaça como Backdoor.Win32.Skimer.

A investigação ainda está em andamento e o relatório completo foi compartilhado com um público exclusivo, composto por autoridades legais, equipes de resposta a emergências de computação, instituições financeiras e os clientes dos serviços de inteligência de ameaças da Kaspersky Lab.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa matéria.

Fonte: segs