קספרסקי חושפת – האקרים מפעילים תפריט זדוני בכספומטים לגניבת כספים

Google+ Pinterest LinkedIn Tumblr +

קבוצת Skimer הופכת את מכשירי הכספומט לסייענים מרכזיים בגניבת כספים ממשתמשים, כך עולה ממחקר חדש של מעבדת קספרסקי. Skimer אשר נחשפה בשנת 2009, הייתה התוכנה הזדונית הראשונה שכוונה נגד כספומטים. שבע שנים מאוחר יותר, קבוצת עברייני הסייבר דוברי הרוסית עושים היום שימוש מחודש בקוד הזדוני ומפעילים תפריט זדוני בכספומטים לצורך גניבת כספים.

דמיינו את הסיטואציה הבאה: בנק מגלה כי הותקף, אבל, באופן מוזר שום כסף לא נגנב, ונראה שדבר לא השתנה במערכת הבנק. העבריינים פשוט עזבו. איך זה יתכן? היה זה אתגר למצוא את הסיבה לפעילות עבריינית יוצאת דופן כל כך שבמהלכה כביכול דבר לא נגנב, אבל במהלך חקירת האירוע, מומחי מעבדת קספרסקי פיצחו את השיטה וחשפו עקבות של גרסה משופרת לקוד הזדוני Skimer באחד ממכשירי הכספומט של הבנק. הוא הותקן שם ונשאר רדום עד אשר עברייני הסייבר העירו אותו מבלי שעקבותיהם התגלו.

קבוצת Skimer מתחילה את פעילותה באמצעות קבלת גישה למערכת הכספומט – באמצעות גישה פיסית או דרך רשת הבנק הפנימית. לאחר התקנה מוצלחת של Backdoor.Win32.Skimer לתוך המערכת, הוא מדביק את ליבת הכספומט – מערכת ההפעלה האחראית לתקשורת עם תשתית הבנק, עיבוד הכסף וכרטיסי האשראי.

בשלב זה לעבריינים יש שליטה מלאה על המכשיר הנגוע. אבל הם נעים בזהירות, והפעולות שלהם מצביעות על מיומנות גבוהה. במקום להתקין מכשירי skimmer – קוראים מגנטיים המתלבשים על הקורא הרגיל של המכשיר- כדי לחלץ נתוני אשראי, הם הופכים את כל המכשיר ל- Skimmer. באמצעות המכשיר הנגוע בקוד הזדוני Backdoor.Win32.Skimer, עבריינים יכולים למשוך את כל הכסף בכספומט או לשלוף נתונים מכרטיסים הנמצאים בשימוש בכספומט: כולל מספר חשבון הבנק של הלקוח והקוד הסודי של הכרטיס.

הבעיה העיקרית העולה משיטת העבודה שלהם היא שאין שום דרך שבה עשוי המשתמש הרגיל להבחין בכספומט נגוע. אין שום סימנים פיסיים לכך, בשונה מקוראים מגנטיים הבולטים יותר לעין.

זומבי רדום
משיכה ישירה מהכספומט תתגלה מיידית לאחר הפעולה הראשונה. אך קוד זדוני בתוך הכספומט יכול בשקט לחלץ נתונים מתוך כרטיסים במשך זמן רב. פושעי ה- Skimer לא מתחילים לפעול מיד – הם זהירים מאוד לגבי הסתרת העקבות שלהם: הקוד הזדוני שלהם יכול לשהות בכספומט הנגוע במשך מספר חודשים ללא שום פעילות.

כדי להעיר אותו, העבריינים מכניסים כרטיס מסוים, עליו נמצאת רשומה מסוימת בפס המגנטי. לאחר קריאת הכרטיס, ה- Skimer יכול להפעיל את הפקודה המוטבעת בו, או לבקש פקודות דרך תפריט מיוחד שהופעל באמצעות הכרטיס. הממשק הגרפי של ה- Skimer מוצג על המסך רק לאחר שהכרטיס יוצא ורק אם העבריין הכניס קוד נכון דרך מקלדת המכשיר תוך 60 שניות.

בסיוע תפריט זה, העבריינים יכולים להפעיל 21 פקודות שונות, כגון הוצאת כסף (40 שטרות ממכשיר מסוים), איסוף פרטים של הכרטיסים שהוכנסו, מחיקה עצמית, עדכון (מתוך קוד זדוני מעודכן המוטבע בשבב הכרטיס) ועוד. בנוסף, ה- Skimer יכול לשמור קובץ עם הפרטים של כרטיסי האשראי שאסף על שבב כרטיס המאסטר של העבריינים, או שהוא יכול להדפיס את הפרטים על קבלות הכספומט.

ברוב המקרים, עבריינים בוחרים להמתין עם איסוף הנתונים שנגרפו מהכרטיסים במטרה ליצור עותקים של כרטיסים אלה בשלב מאוחר יותר. באמצעות עותקים אלה הם הולכים למכשיר כספומט אחר, שאינו נגוע, ומושכים כסף באופן רגיל מחשבונות הלקוחות. בדרך זו, העבריינים יכולים להבטיח כי הכספומט הנגוע לא יתגלה בזמן הקרוב. הגישה שלהם לכסף היא פשוטה ומדאיגה בפשטותה.

גנבים עם ותק
Skimer הופץ באופן נרחב בין השנים 2010 ו- 2013. הופעתו יצרה גידול ניכר במספר ההתקפות נגד כספומטים, ובשעתו זיהתה מעבדת קספרסקי תשע משפחות שונות של קוד זדוני, ביניהם Tyupkin, שנחשפה במרץ 2014, ואשר הפכה לנפוצה ולפופולארית ביותר. כעת נראה כי Backdoor.Win32.Skimer חוזר לעניינים. מעבדת קספרסקי מזהה כעת 49 גרסאות של הקוד הזדוני, כש- 37 מהגרסאות האלה תוקפות כספומטים של אחד היצרנים הגדולים. הגרסה האחרונה נחשפה בתחילת מאי 2016.

בסיוע דוגמיות שהוגשו ל- VirusTotal אנו יכולים לראות ביזור גיאוגרפי רחב מאוד של כספומטים העלולים להיות נגועים. 20 הדוגמיות האחרונות של משפחת Skimer הגיעו מיותר מ- 10 אזורים שונים ברחבי העולם: איחוד האמירויות, צרפת, ארה"ב, רוסיה, מקאו, סין, פיליפינים, ספרד, גרמניה, גיאורגיה, פולין, ברזיל, צ'כיה.

אמצעי נגד טכנולוגיים
כדי להימנע מאיום זה, מעבדת קספרסקי ממליצה לבצע סריקות אנטי וירוס קבועות, המלוות בשימוש בטכנולוגיות "רשימה לבנה", ניהול מדיניות נכונה של המכשיר, הצפנת דיסק מלאה, הגנה על BIOS הכספומט עם סיסמא, מתן אפשרות לאתחול HDD בלבד ובידוד של רשת הכספומט מרשת הבנק הפנימית.

"ישנו אמצעי נגד חשוב נוסף המתאים לתרחיש מסוים זה. הקוד הזדוני Backdoor.Win32.Skimer בודק את המידע (9 ספרות מסוימות) המקודד על הפס המגנטי של הכרטיס כדי לזהות אם הוא אמור להיות מופעל. גילינו את המספרים המקודדים המשמשים את הקוד הזדוני, ואנו משתפים בהם את הבנקים. בשלב זה הבנקים יכולים לחפש אחריהם באופן אקטיבי בתוך מערכות העיבוד שלהם, ולזהות מכשירי כספומט נגועים ובלדרי כספים, או לחסום כל ניסיון מצד התוקפים להפעיל את הקוד הזדוני", אמר סרגיי גולובנוב, חוקר אבטחה ראשי במעבדת קספרסקי.

מוצרי מעבדת קספרסקי מזהים את האיום כ: Backdoor.Win32.Skimer

לדוח – Securelist.com

וידיאו המציג את דרך הפעולה –

שתף.

.