Quase todos os caixas eletrônicos do mundo podem ser acessados ilegalmente e roubados, com ou sem a ajuda de um malware. De acordo com a pesquisa realizada por especialistas da Kaspersky Lab, isso ocorre por causa do uso generalizado de software desatualizado e inseguro, erros de configuração da rede e a existência de falta física de segurança nas peças críticas dos caixas eletrônicos.
Durante muitos anos, a maior ameaça aos clientes e proprietários de caixas eletrônicos foram os skimmers – dispositivos especiais conectados à máquina para roubar dados das tarjas magnéticas dos cartões. Porém, com a evolução das técnicas maliciosas, os caixas eletrônicos ficaram expostos a outros riscos. Em 2014, os pesquisadores da Kaspersky Lab descobriram o Tyupkin – um dos primeiros exemplos amplamente conhecidos de malware direcionados a caixas eletrônicos. Em 2015, identificaram o grupo Carbanak que, entre outras coisas, era capaz de roubar caixas eletrônicos violando a infraestrutura bancária. Ambos os ataques foram possíveis graças à exploração de diversas falhas na tecnologia dos caixas eletrônicos e na infraestrutura subjacente. E isto é apenas a ponta do iceberg.
Com o objetivo de mapear os problemas de segurança nos caixas eletrônicos, os especialistas em testes de penetração da Kaspersky Lab investigaram ataques reais e as avaliações de segurança de caixas eletrônicos de vários bancos internacionais.
Os resultados da pesquisa destacaram as duas principais falhas de segurança que permitem esses ataques de malware contra caixas eletrônicos:
Software antigos e desatualizados: todos os computadores dos caixas eletrônicos executam versões muito antigas dos sistemas operacionais, exemplo o Windows XP. Isso os torna vulneráveis a infecções por malware e exploits. Além disso, na grande maioria dos casos, o software que permite a interação entre o computador do caixa eletrônico, a infraestrutura e os hardware do banco para o processamento de valores e cartões de crédito é baseado em XFS.
Este formato é antigo, inseguro e foi criado originalmente para padronizar um software compatível com todos os caixas eletrônicos, independente do fabricante. Porém, ele não exige autorização para processar comandos, ou seja, qualquer aplicativo instalado ou executado no caixa eletrônico pode gerar comandos para os hardware da máquina, incluindo o leitor de cartão ou o compartimento de liberação de dinheiro. Quando um malware consegue infectar o caixa eletrônico, ele tem acesso a funcionalidades de controle do equipamento praticamente ilimitadas: é capaz de transformar o teclado e o leitor de cartão em um skimmer “nativo” ou disponibilizar todo o dinheiro armazenado no caixa eletrônico mediante um comando do hacker.
Segurança física: em muitos casos, os pesquisadores da Kaspersky Lab observaram que não é necessário o uso de um malware para infectar o caixa eletrônico ou a rede do banco, pois é comum que não haja segurança física nos próprios caixas eletrônicos. Muitas vezes, a construção e a instalação deles permitem o fácil acesso de terceiros ao computador interno ou ao cabo de rede que conecta a máquina à internet. Ao acessar fisicamente o caixa eletrônico, mesmo que de forma parcial, os criminosos conseguem instalar microcomputadores (chamados de caixas pretas) para ter acesso remoto à máquina ou conectar o caixa eletrônico a um centro de processamento pirata.
O centro de processamento fraudulento consiste em um servidor idêntico ao servidor do banco, apesar de não pertencer ao banco, para processar os dados de pagamento. Quando o caixa eletrônico é conectado a ele, os invasores podem emitir qualquer comando. E o aparelho obedece.
É possível proteger a conexão entre os caixas eletrônicos e o centro de processamento de várias maneiras: usar um hardware ou software de VPN, criptografia SSL/TLS, firewall ou autenticação MAC, implementada em protocolos xDC. No entanto, essas medidas não são implementadas com frequência e os criminosos não precisam lidar com o hardware, apenas explorar os pontos fracos na comunicação da rede entre o caixa eletrônico e a infraestrutura do banco.
“Os resultados de nossa pesquisa mostram que, embora os fornecedores estejam tentando desenvolver caixas eletrônicos com recursos de segurança mais eficientes, muitos bancos ainda usam modelos antigos e inseguros, o que os deixa vulneráveis aos ataques, que desafiam ativamente a segurança destes dispositivos. Essa é a realidade atual, que provoca enormes prejuízos financeiros para os bancos e seus clientes. Acreditamos que isso seja consequência de uma convicção infundada de muitos anos, há de que os cibercriminosos teriam interesse apenas em ataques contra os bancos online. Claro que eles se interessam por esses ataques, mas também valorizam cada vez mais a exploração de vulnerabilidades nos caixas eletrônicos, já que, nesses ataques diretos, o caminho até o dinheiro real é curto”, destaca Olga Kochetova, especialista em testes de penetração da Kaspersky Lab.
É importante ressaltar que as vulnerabilidades citadas no artigo não são possíveis de se explorar nas ATMs brasileiras: nossos caixas eletrônicos utilizam LPCD’s (linhas privativas de comunicação de dados) ligando diretamente cada ATM com a central dos bancos, diferente dos americanos e europeus, que usam a internet para comunicação entre o banco e o caixa eletrônico (para reduzir custos).
Aqui no Brasil cada banco usa um protocolo de comunicação proprietário criado por ele mesmo ao invés do XFS, além de uma camada de criptografia para cada mensagem trafegada e a da própria VPN.
Nosso problema maior é o uso de “chupa-cabras” por enquanto.