האקרים מפעילים תפריט זדוני בכספומטים לגניבת כספים
מאת: מערכת Telecom News, 17.5.16, 23:51
קב' Skimer הופכת מכשירי כספומט לסייענים בגניבת כספים ממשתמשים. Skimer נחשפה ב-2009 ו-7 שנים מאוחר יותר, קב' עברייני סייבר דוברי רוסית עושה שימוש ב-49 גרסאות של קוד זדוני. הגרסה האחרונה נחשפה בתחילת מאי 2016. איך זה עובד?
דמיינו את הסיטואציה הבאה: בנק מגלה כי הותקף, אבל, באופן מוזר שום כסף לא נגנב, ונראה שדבר לא השתנה במערכת הבנק. העבריינים פשוט עזבו. איך זה יתכן?
היה זה אתגר למצוא את הסיבה לפעילות עבריינית יוצאת דופן כל כך, שבמהלכה כביכול דבר לא נגנב. אולם, במהלך חקירת האירוע, מומחי מעבדת קספרסקי פיצחו את השיטה וחשפו עקבות של
גרסה משופרת לקוד הזדוני
Skimer באחד ממכשירי הכספומט של הבנק. הוא הותקן שם ונשאר רדום עד אשר עברייני הסייבר העירו אותו מבלי שעקבותיהם התגלו.
ות גישה פיסית או דרך רשת הבנק הפנימית. לאחר התקנה מוצלחת של
Backdoor.Win32.Skimer לתוך המערכת, הוא מדביק את ליבת הכספומט - מערכת ההפעלה האחראית לתקשורת עם תשתית הבנק, עיבוד הכסף וכרטיסי האשראי.
בשלב זה לעבריינים יש שליטה מלאה על המכשיר הנגוע. אבל הם נעים בזהירות, והפעולות שלהם מצביעות על מיומנות גבוהה. במקום להתקין מכשירי
skimmer - קוראים מגנטיים המתלבשים על הקורא הרגיל של המכשיר כדי לחלץ נתוני אשראי, הם הופכים את כל המכשיר ל-
Skimmer.
באמצעות המכשיר הנגוע בקוד הזדוני
Backdoor.Win32.Skimer, עבריינים יכולים למשוך את כל הכסף בכספומט או לשלוף נתונים מכרטיסים הנמצאים בשימוש בכספומט
' כולל מספר חשבון הבנק של הלקוח והקוד הסודי של הכרטיס.
הבעיה העיקרית העולה משיטת העבודה שלהם היא, שאין שום דרך, שבה עשוי המשתמש הרגיל להבחין בכספומט נגוע. אין שום סימנים פיסיים לכך, בשונה מקוראים מגנטיים הבולטים יותר לעין.
זומבי רדום
משיכה ישירה מהכספומט תתגלה מיידית לאחר הפעולה הראשונה. אך קוד זדוני בתוך הכספומט יכול בשקט לחלץ נתונים מתוך כרטיסים במשך זמן רב. פושעי ה-
Skimer לא מתחילים לפעול מיד
. הם זהירים מאוד לגבי הסתרת העקבות שלהם: הקוד הזדוני שלהם יכול לשהות בכספומט הנגוע במשך מספר חודשים ללא שום פעילות.
כדי להעיר אותו, העבריינים מכניסים כרטיס מסוים, עליו נמצאת רשומה מסוימת בפס המגנטי. לאחר קריאת הכרטיס, ה-
Skimer יכול להפעיל את הפקודה המוטבעת בו, או לבקש פקודות דרך תפריט מיוחד, שהופעל באמצעות הכרטיס. הממשק הגרפי של ה-
Skimer מוצג על המסך רק לאחר שהכרטיס יוצא ורק אם העבריין הכניס קוד נכון דרך מקלדת המכשיר תוך 60 שניות.
בסיוע תפריט זה, העבריינים יכולים להפעיל 21 פקודות שונות, כגון הוצאת כסף (40 שטרות ממכשיר מסוים), איסוף פרטים של הכרטיסים שהוכנסו, מחיקה עצמית, עדכון (מתוך קוד זדוני מעודכן המוטבע בשבב הכרטיס) ועוד. בנוסף, ה-
Skimer יכול לשמור קובץ עם הפרטים של כרטיסי האשראי, שאסף על שבב כרטיס המאסטר של העבריינים, או שהוא יכול להדפיס את הפרטים על קבלות הכספומט.
ברוב המקרים, עבריינים בוחרים להמתין עם איסוף הנתונים, שנגרפו מהכרטיסים, כדי ליצור עותקים של כרטיסים אלה בשלב מאוחר יותר. באמצעות עותקים אלה הם הולכים למכשיר כספומט אחר, שאינו נגוע, ומושכים כסף באופן רגיל מחשבונות הלקוחות. בדרך זו, העבריינים יכולים להבטיח, שהכספומט הנגוע לא יתגלה בזמן הקרוב. הגישה שלהם לכסף היא פשוטה ומדאיגה בפשטותה.
גנבים עם ותק
Skimer הופץ באופן נרחב בין השנים 2010 ו-2013. הופעתו יצרה גידול ניכר במספר ההתקפות נגד כספומטים, ובשעתו זיהתה מעבדת קספרסקי 9 משפחות שונות של קוד זדוני, ביניהם
Tyupkin, שנחשפה במרץ 2014 והפכה לנפוצה ולפופולרית ביותר.
כעת נראה, ש-
Backdoor.Win32.Skimer חוזר לעניינים. מעבדת קספרסקי מזהה כעת 49 גרסאות של הקוד הזדוני, כש-37 מהגרסאות האלה תוקפות כספומטים של אחד היצרנים הגדולים. הגרסה האחרונה נחשפה בתחילת מאי 2016.
בסיוע דוגמיות, שהוגשו ל-
VirusTotal ניתן לראות ביזור גיאוגרפי רחב מאוד של כספומטים העלולים להיות נגועים. 20 הדוגמיות האחרונות של משפחת
Skimer הגיעו מיותר מ-10 אזורים שונים בעולם: איחוד האמירויות, צרפת, ארה"ב, רוסיה, מקאו, סין, פיליפינים, ספרד, גרמניה, גיאורגיה, פולין, ברזיל, צ'כיה.
אמצעי נגד טכנולוגיים
כדי להימנע מאיום זה, מומלץ לבצע סריקות אנטי וירוס קבועות, שמלוות בשימוש בטכנולוגיות "רשימה לבנה", ניהול מדיניות נכונה של המכשיר, הצפנת דיסק מלאה, הגנה על
BIOS הכספומט עם סיסמא, מתן אפשרות לאתחול
HDD בלבד ובידוד של רשת הכספומט מרשת הבנק הפנימית.
סרגיי גולובנוב, חוקר אבטחה ראשי במעבדת קספרסקי: "יש אמצעי נגד חשוב נוסף המתאים לתרחיש מסוים זה. הקוד הזדוני
Backdoor.Win32.Skimer בודק את המידע (9 ספרות מסוימות) המקודד על הפס המגנטי של הכרטיס כדי לזהות אם הוא אמור להיות מופעל. גילינו את
המספרים המקודדים המשמשים את הקוד הזדוני, ואנו משתפים בהם את הבנקים. בשלב זה הבנקים יכולים לחפש אחריהם באופן אקטיבי בתוך מערכות העיבוד שלהם ולזהות מכשירי כספומט נגועים ובלדרי כספים, או לחסום כל ניסיון מצד התוקפים להפעיל את הקוד הזדוני".