כספומטים ישנים הרגישים להתקפות תוכנות זדוניות, הונאות כספומט במגמת עלייה

בקיץ 2010, ברנבי ג’ק ז”ל הציג מצגת בכנס האבטחה Black Hat, בו הדגים את ‘jackpotting’ של שני כספומטים. במהלך הצגתו הצליח ג’ק לגרום לשתי המכונות להפיץ מזומנים על ידי ניצולן הן פיזית והן מרחוק.

בהתקפה הפיזית הוא השתמש בכונן הבזק טעון מראש בתוכנה זדונית כדי להשיג גישה למנהל לכספומט, והעניק לעצמו שליטה על מנגנון חלוקת המזומנים שלו.

כעת, יותר משנה לאחר מותו בטרם עת של ג’ק, נראה שתעשיית האבטחה עדיין לא תפסה את ההאקרים שמצליחים יותר ויותר לנצל כספומטים ברחבי העולם ללא צורך בידע מומחה או אפילו בתוכנות זדוניות אחרונות..

בעקבות דיווחים על פריצות כספומט במלזיה, בהן כנופיות גנבו כמיליון דולר, כתב החוקר בריאן קרבס בדק מקרוב את הנושא וגילה כי הבעיה נעוצה בשימוש בתשתיות ישנות..

לטענת קרבס, העלייה האחרונה בהתקפות זדוניות בכספומטים נובעת מגיל המכונות ולא משימוש במכשירי רפרוף היי-טק חדשים או מיקוד ספציפי למערכת ההפעלה Windows XP המנותקת כעת שרבים עדיין משתמשים בה..

אוון ווילד, מנהל שיווק גלובלי בנושא תאימות אבטחה אצל יצרן הכספומט NCR, שמכונותיו הוחלפו בהתקפות המלזיות, אמר לקרבס כי הבעיה היא ענפה ואומרת כי “היא מתרחשת בכספומטים מכל יצרן, קווי מודלים מרובים והיא אינה משהו עם זאת, Wild הודה כי הסדרה של פרסונה של כספומטים של NCR שהותקפו במלזיה הייתה ותיקה, לאחר שהוחלפה על ידי דגם חדש יותר לפני שבע שנים.

Wild חשף כי כמחצית מבסיס ההתקנה של NCR עדיין משתמש ב- Personas הישנים. זה מציג בעיה בפני כל מפעיל שלא זרק ערימה של מזומנים על שולחנה של מיקרוסופט בתמורה לעדכוני אבטחה ממשיכים כי ציות לתקן PCI DSS (תקני אבטחת מידע על תעשיות התשלום) מחייב שימוש במערכת הפעלה הנתמכת באופן מלא עם עדכוני אבטחה ממשיכים.

עם זאת, Wild הוסיף כי מכונות עצמאיות מהוות את הסיכון הגדול יותר (בגלל הגישה הפיזית הקלה בדרך כלל עבור מגפי ה- CD Rom וה- USB), ואילו השימוש במערכת Windows XP לא היה גורם מרכזי מכיוון שמערכות ההפעלה עוקפות או עושות שימוש בהן באמצעות התוכנה.

ווילד המשיך לפרט על שני סוגים של התקפה. הראשון, לדבריו, הוא התקפות ‘קופסא שחורה’ בהן מכשיר אלקטרוני משמש כדי לעקוף את התשתית בעיבוד הכספומט ולשלוח קוד כספי לא מורשה לכספומט..

הסוג השני של התקיפה, שלדברי ווילד הולך וגובר, הוא החדרת תוכנות זדוניות לכספומטים ישנים שיש בהם פחות מנגנוני הגנה, שתוכננו בתקופה בה איומים וסיכונים כאלה לא היו כמעט גדולים כמו עכשיו.

בהתייחס לזמינות של מדריכי הכספומטים באופן מקוון, אמר Wild “אתה לא צריך להיות מומחה לכספומט או להיות בעל ידע פנימי כדי ליצור או לתקן תוכנות זדוניות עבור כספומטים. וזה מה שהופך את פריסת אמצעי המניעה לחשובים כל כך. “

מבחינת הפחתת התקפות נגד כספומטים, העצה שלנו תהיה:

• סקור את האבטחה הפיזית של המכונה כולל מיקום, מעקב מצלמה, שימוש במנעולים שאינם סטנדרטיים ויישום אזעקות אבטחה של כספומט.
• הבדיקה הרגילה של המכונה כדי להבטיח שלא התקבלו אליהם מכשירים של צד שלישי
• הכשרת מודעות ביטחונית לצוות כדי להבטיח שהם מחפשים חסרונות מהונדסים חברתיים מפושעים שעלולים להתחזות למהנדסים או לפקחים
• הכשרת צוותים להגיב ולחקירת אזעקות ופעילות חשודה
• הגבלת סכום המזומנים בכספומט לסכום שצפוי לוותר בכל יום נתון