SPONSORED PILLAR

Cybersecurity: attacchi a banche e Atm, ecco come proteggersi

Gli Atm sempre più nel mirino del cybercrime, poiché ritenuti l’anello debole delle infrastrutture bancarie da un punto di vista della sicurezza. Grazie a una piattaforma di protezione unificata è possibile aumentarne significativamente il livello di protezione

25 Set 2020

Gianluigi Torchiani

Quando si parla di sicurezza informatica viene naturale pensare agli attacchi del cybercrime che minacciano il regolare funzionamento dei nostri dispositivi personali (pc, tablet, smartphone) oppure delle reti aziendali. Eppure ci sono tanti altri aspetti della nostra vita personale e lavorativa che sono ormai completamente digitalizzati e che, dunque, possono essere interessati dalle azioni degli hacker, compreso quello finanziario/bancario. Dal momento che l’interesse dei cybercriminali è ormai soltanto quello di ricavare denaro, direttamente o indirettamente (attraverso la sottrazione di dati e informazioni), è chiaro che questo segmento di mercato risulta essere particolarmente nel mirino. Non a caso, il livello di cybersecurity degli istituti bancari è sempre stato superiore alla media (Fonte Fortune Business Insight ), ma soprattutto per quanto concerne la protezione dei sistemi informatici posti all’interno del perimetro aziendale e i servizi di on line banking. Molta meno attenzione, invece, è stata prestata alla protezione degli Atm, che oggi sono considerati in maniera unanime come l’anello più debole della catena delle infrastrutture per la sicurezza bancaria.

Come il cybercrime attacca gli Atm

Secondo quanto mette in evidenza l’Atmia Global Fraud and Security Survey 2019 (condotto su operatori Atm a livello globale), il 58,16% degli intervistati ha sostenuto come negli ultimi anni gli attacchi Atm (che comprendono sia violazioni della sicurezza fisica che attacchi frode) siano aumentati. È possibile distinguere tali attacchi in:

Data Fraud: furto dati personali, come ad esempio la sottrazione dei numeri dei conti e dei codici PIN.

Physical Fraud: attacco alle porte hardware allo scopo di prelevare direttamente e illegalmente denaro contante

Cyber Fraud: attacchi logici ai sistemi e alle comunicazioni

Tra le minacce più note agli esperti di sicurezza c’è l’Atm jackpotting, che può essere vista come una delle tecniche meno complicate di Atm Malware Cyber Attack, attraverso la quale si sfruttano le porte hardware dell’Atm per indurlo a erogare contanti tramite un malware. Un attacco semplice e immediato, che è riuscito negli ultimi anni a sottrarre ingenti somme alle istituzioni finanziarie. Tra i malware più coinvolti nelle azioni di jackpotting c’è Ploutus, identificato per la prima volta in un Atm Cyber Attack in Messico nel 2013. Da allora questa tipologia di malware ha generato perdite per più di 450 milioni di dollari (circa 400 milioni di euro) a livello mondiale.

Perché gli Atm sono così vulnerabili

La prima risposta è intuitiva: queste piattaforme contengono denaro contante e gestiscono informazioni sensibili, come i numeri delle carte di debito/credito e i pin dei correntisti. In ogni caso si tratta di target molto sensibili per i cybercriminali, che hanno la possibilità di far fruttare le informazioni sottratte nell’immenso mercato del Dark Web.

Eppure, nonostante questo quadro poco confortante, ancora oggi gli Atm si trovano spesso in ambienti non custoditi o insufficientemente monitorati e sono dotati di scarse misure di sicurezza logiche. Esiste poi un problema di tipo tecnologico- culturale: nel mondo bancario si sconta ancora la mancata comprensione di quanto gli Atm siano diventati degli strumenti digitali a tutti gli effetti (dotati di software, collegamenti con la rete e quant’altro) e non soltanto dei semplici dispenser meccanici di contanti. Questo conduce alla proliferazione di hardware e software obsoleti nelle reti Atm e – elemento ancora più grave da un punto di vista cybersecurity – alla vera e propria assenza di politiche di upgrade attive.

Gran parte dei terminali installati nel nostro Paese si basano ancora su Windows 7 o si trovano ancora in fase di migrazione: un problema non da poco, considerato che questo sistema operativo da diversi mesi non riceve più aggiornamenti di sistema da parte Microsoft e, di conseguenza, non garantisce più la protezione necessaria dalle nuove vulnerabilità che vengono continuamente individuate. Addirittura, si stima che all’incirca sul 40% degli Atn in tutto il mondo sia installato ancora Windows XP, un sistema operativo ancor più obsoleto, che non viene più supportato da Microsoft dal 2014, fattore che rende queste macchine estremamente vulnerabili. Un altro punto critico è rappresento da Xfs layer: si tratta dell’interfaccia standard che vediamo sugli schermi dei terminali, che è stata progettata affinché il software applicativo multivendor possa essere eseguito sugli Atm indipendentemente dall’hardware delle aziende produttrici. L’Xfs layer utilizza delle Api standard per comunicare con le applicazioni self-service. Ciononostante, questa architettura non prevede alcun processo di autentificazione automatico, rendendo più semplici le attività dei cybercriminali, che possono sfruttare questo punto debole dell’interfaccia XFS per avere accesso all’hardware dell’Atm, in particolare ai cash dispenser, ma anche al lettore delle carte per appropriarsi dei codici identificativi.

Le esigenze di cybersecurity degli Atm

Oltre alle lacune nella difesa da parte degli operatori del banking, ci sono alcune criticità insite nel funzionamento stesso degli Atm che lo rendono un dispositivo particolarmente critico dal punto di vista della banking cybersecurity.  In particolare, le classiche soluzioni di protezione dell’endpoint generico, quali le soluzioni anti-malware, non sono di norma sufficienti ad assicurare una protezione completa, poiché tali tecnologie nascono specificatamente per proteggere i pc e i computer portatili. A complicare il quadro c’è la logica di funzionamento stesso degli Atm, che devono essere disponibili 24 ore su 24, 7 giorni su 7, per 365 giorni all’anno, necessitando quindi di una maggiore protezione e di un approccio differente.

Indubbiamente, poi, i criminali informatici si sono dimostrati estremamente svelti e innovativi nella creazione di nuovi tipi di attacchi locali mirati contro gli Atm. Diventa dunque indispensabile mettere a punto robuste ed efficaci contromisure di sicurezza per proteggere, monitorare e controllare gli ambienti Atm in maniera adeguata. In particolare, risulta necessaria l’adozione una soluzione di sicurezza centralizzata che protegga, monitori e controlli le reti Atm, aiutando così le istituzioni finanziarie a prevenire tutti i tentativi di utilizzo di malware o l’esecuzione di attività fraudolente.

Auriga Ldm: una piattaforma modulare per la cybersecurity degli Atm

Di questo avviso è Auriga, operatore italiano che da oltre 25 anni accompagna l’evoluzione digitale degli operatori bancari, permettendo anche di controllare il sempre più cruciale aspetto della cybersecurity, e che di recente ha acquisito Lookwise Device Manager (Ldm), una piattaforma modulare di cybersecurity. LookwiseDevice Manager può essere considerata come una soluzione OT (Operational Technology) di sicurezza centralizzata, modulare e multivendor che offre un set completo di funzionalità volto a proteggere, monitorare e controllare la rete di Atm. Ldm garantisce anche un ulteriore livello di controllo che consente agli utenti di eseguire azioni remote personalizzate per indagare o reagire a potenziali incidenti.

Ma vediamo più da vicino come funziona Ldm nel dettaglio, che prevede quattro diversi livelli di protezione.

  • Application whitelisting: in questo modo si previene l’esecuzione di malware o di software fraudolenti bloccando l’esecuzione dei processi non inclusi nella white list. Le modalità di whitelisting non sono tutte uguali: si può disporre di modalità di whitelisting per reti generiche o per sistemi critici come gli ATM; in quest’ultimo caso è prevista la creazione di una whitelist di applicazioni che possono essere eseguite, così da ridurre ai minimi termini la superficie di attacco. Diventa così possibile limitare in maniera significativa gli attacchi al sistema, offrendo anche la possibilità di prevenire quegli attacchi perpetrati attraverso l’impiego di software legittimi. Infatti autorizzare l’esecuzione di un software solo sulla base della sua legittimità non garantisce sempre e comunque sulla sicurezza del sistema: all’interno di questi programmi regolari possono comunque nascondersi malware o altre minacce.
  • Protezione dell’integrità dei file di sistema: Ldm impedisce la manipolazione non controllata dei file critici o cartelle nel file di sistema attraverso regole di protezione di file, estensioni globali o directory. Diventa così possibile salvaguardare l’integrità dell’immagine del software certificato, permettendo solo ai processi autorizzati di modificare le cartelle o i file protetti.
  • Protezione Hardware: Ldm previene la connessione di hardware fraudolenti, blocca dispositivi hardware al di fuori della whitelist e limita il livello d’accesso (lettura-scrittura) per i dispositivi di archiviazione (Usb, cd-rom, floppy disk, Mtp). Semplifica la configurazione utilizzando whitelist dei dispositivi locali insieme a regole generali di permesso/divieto. È possibile inoltre visualizzare le connessioni/disconnessioni dei dispositivi autorizzati.
  • Cifratura completa del disco: previene l’accesso all’hard disk al di fuori del sistema operativo utilizzando una cifratura a livello di settore e codici univoci gestiti in sicurezza, permettendo l’avvio da remoto e la decifratura offline.

Inoltre Ldm salvaguarda la privacy dei dati in memoria con impatto minimo sulla performance e senza interferire con l’operatività del dispositivo.

Oltre a questi quattro livelli di protezione, Ldm consente di mettere in atto efficaci azioni di monitoraggio degli eventi e di controllo dell’apparecchiatura da remoto. L’adozione di una piattaforma di cybersecurity come Ldm si traduce così in numerosi benefici per le banche, a partire dal risparmio di tempo e di risorse economiche, grazie a una gestione centralizzata della sicurezza della rete Atm. Non meno importante, ovviamente è la prevenzione, rilevamento e risposta a incidenti di sicurezza, compresa la protezione da attacchi fisici-logici. Altro vantaggio insito nella centralizzazione è la gestione di tutti gli alert di sicurezza in un’unica piattaforma, su cui possono essere visualizzati i report in tempo reale sullo stato degli Atm e validata rapidamente la loro conformità alle politiche di sicurezza.

Consigli e strategie per la cybersecurity nel banking

Esistono poi tutta un’altra serie di azioni, più di natura indiretta, che gli operatori bancari possono mettere in atto per implementare, di riflesso, la cybersecurity dei propri terminali Atm. Innanzitutto occorre affidarsi a consulenti specializzati in sicurezza, che permettano di verificare costantemente l’affidabilità delle proprie misure di protezione. Inoltre, diventa cruciale l’implementazione di un solido programma di sensibilizzazione sulla sicurezza informatica per dipendenti e clienti delle banche, che consenta di limitare quegli errori più comuni che spalancano le porte alle azioni del cybercrime. In un panorama di minacce in continua evoluzione, diventa fondamentale comprendere in anticipo quali potrebbero essere gli attacchi più insidiosi per la propria organizzazione in un dato momento. L’adozione di una strategia di Cyber Threat Intelligence (Cti), che presuppone la raccolta e l’analisi di informazioni al fine di caratterizzare possibili minacce cyber, può essere la chiave per rilevare e contenere potenziali problemi ancora prima che essi si verifichino.

In linea più generale, la realizzazione di una strategia di cybersecurity efficace passa sempre di più per l’adozione del cloud computing a livello infrastrutturale. Nelle moderne società digitali, infatti, il volume di dati sta diventando sempre maggiore e più complesso. Questo rappresenta una sfida per i responsabili IT del settore bancario, che devono essere in grado di archiviare, gestire e analizzare questi dati in maniera veloce e agile. Una sfida che è sempre più difficile realizzare con le infrastrutture informatiche di tipo tradizionale, cioè on premise, mentre invece il cloud computing può rendere l’intero processo più semplice e accessibile. Nel settore bancario, in particolare, i servizi cloud consentono alle banche di migliorare la sicurezza dei loro dati e l’affidabilità dei loro sistemi, beneficiando di una potenza di calcolo significativamente maggiore. Con riflessi importanti dal punto di vista della cybersecurity, che viene sostanzialmente assicurata dalle risorse dei grandi provider della nuvola, con garanzia di aggiornamenti puntuali e sistemi di protezione dei dati all’avanguardia, che difficilmente potrebbero essere adottati da un singolo istituto di credito, per quanto di notevoli dimensioni.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5