EN 
ES 
Mantenere alta l’attenzione difronte a minacce in continua evoluzione
Il mese di ottobre, dedicato alla sensibilizzazione sull’importanza della sicurezza informatica, ci ricorda quanto sia importante per le banche e gli operatori ATM rimanere vigili di fronte alle minacce in continua evoluzione.
Il malware che colpisce gli ATM continua a essere una delle sfide più insidiose e dannose per gli istituti bancari di tutto il mondo. Oltre alle perdite finanziarie immediate, gli attacchi possono minare la fiducia dei clienti e la reputazione della banca stessa.
Perché l’ATM oggi svolge un ruolo strategico: con la riduzione delle reti di filiali e l’affermarsi dei servizi bancari self-service come elemento chiave delle transazioni quotidiane, sia le banche che i clienti fanno sempre più affidamento sugli ATM. Questa crescente dipendenza, tuttavia, li espone a una gamma più ampia di attacchi messi in atto dai criminali informatici.
La comparsa negli ultimi anni di nuovi sofisticati attacchi malware, come quelli operati da FastCash, dimostra quanto queste minacce siano diventate avanzate.
I criminali informatici sfruttano le vulnerabilità del software e dell’hardware, compresi i sistemi operativi obsoleti, i punti deboli del middleware degli sportelli automatici e le opportunità offerte dall’accesso fisico ai dispositivi.
Metodi di attivazione avanzati dell’ATM malware, tra cui dispositivi USB, WiFi, SMS, periferiche collegate o comandi di rete remoti, consentono agli aggressori di prendere di mira gli sportelli automatici in modo efficiente e su larga scala. Conoscere e comprendere queste minacce è essenziale per anticipare, prevenire e mitigare gli attacchi, mantenendo al contempo la fiducia da parte dei clienti nei servizi self-service.
L’evoluzione del malware ATM
Il malware ATM è progettato per manipolare i dispositivi al fine di ottenere prelievi di contanti o rubare informazioni sensibili. La sua evoluzione è stata rapida, passando da strumenti specifici per fornitori a piattaforme multi-vendor in grado di operare su diverse configurazioni hardware e software.
Il malware moderno è in grado di aggirare l’autorizzazione delle transazioni, prendere il controllo dei tasti digitati e dei file di sistema sensibili, attraverso un controllo remoto. Molti malware utilizzano tecniche per eludere il rilevamento, tra cui il mascheramento dei processi, la cancellazione dei log e la manomissione dei file di sistema. Queste minacce agiscono a livello globale e colpiscono gli ATM in diverse aree geografiche.
Gli attacchi agiscono tipicamente attraverso le fasi di preparazione, contagio, penetrazione ed esecuzione. Nella fase di preparazione, gli aggressori analizzano il software e l’hardware degli ATM per sviluppare malware su misura.
Il contagio avviene tramite metodi fisici o basati sulla rete, tra cui chiavette USB, tastiere o strumenti di gestione remota. Una volta installato, il malware si propaga attraverso i riavvii e gli aggiornamenti e viene infine attivato per innescare prelievi di contanti non autorizzati o l’acquisizione di dati.
Alcune operazioni coinvolgono più soggetti, da addetti ai lavori a specialisti di rete, per garantire che i contanti o i dati rubati vengano estratti e riciclati in modo efficiente.
Tattiche sofisticate alla base del malware ATM
Il malware moderno utilizza vari metodi di attivazione. Alcuni rispondono solo a carte specifiche, mentre altri sfruttano il tastierino numerico, sequenze di tasti specifiche o comandi nascosti attivati con lo schermo tattile o un mouse wireless.
L’attivazione remota tramite SMS, WiFi o server web è sempre più comune e il malware-as-a-service consente anche ai criminali meno esperti dal punto di vista tecnico di eseguire attacchi avanzati.
Oltre alle operazioni standard, il malware può registrare le sequenze di tasti, manipolare i distributori di contanti, aggirare i sensori, interrompere le reti, cancellare i registri, alterare il record di avvio principale (MBR), disattivare gli allarmi, crittografare le comunicazioni e rubare le credenziali degli operatori. Ogni nuova variante introduce caratteristiche nuove, rendendo più difficile il rilevamento e la mitigazione.
Garantire la sicurezza degli ATM
Le strategie di sicurezza tradizionali, tra cui la crittografia dei dischi rigidi, i software antivirus, le protezioni hardware, i firewall e la registrazione centralizzata dei log, rimangono importanti ma non sono più sufficienti da sole.
La protezione Zero Trust offre un approccio più completo, partendo dal presupposto che tutti i componenti degli ATM potrebbero essere compromessi, anche quelli storicamente affidabili. Questo approccio prevede l’utilizzo di soli dispositivi certificati, consente solo l’esecuzione dei processi software essenziali e controlla rigorosamente le comunicazioni di rete, riducendo al minimo la superficie di attacco e convertendo il sistema operativo in un dispositivo dedicato alla tecnologia operativa (OT), consentendo solo le operazioni necessarie sull’ATM.
Il malware ATM comporta anche conseguenze finanziarie tangibili. Malware come FastCash, Ploutus, Tyupkin e Carbanak hanno causato perdite per milioni di dollari in singoli attacchi.
A questo va aggiunto il fatto che le banche che hanno subito un attacco devono affrontare interruzioni operative, danni alla reputazione e costi associati alle indagini e alla mitigazione. Infine, poiché gli ATM sono sempre più spesso situati in aree remote o non monitorate, si prevede che il trend di crescita delle minacce rimanga stabilenel 2025, richiedendo un continuo adeguamento delle strategie difensive.
Inoltre, le tendenze emergenti, come il phishing tramite codici QR, il doxing, l’attivazione remota avanzata e il malware-as-a-service, evidenziano l’importanza di proteggere le risorse interne e di attuare misure proattive. Le banche possono utilizzare gli analytics e il machine learning per rilevare anomalie, ottimizzare il rifornimento di contante e prevedere gli attacchi. Sono essenziali le campagne di sensibilizzazione per i clienti, la verifica dei codici di transazione e il controllo continuo dell’hardware e del software degli ATM.
Costruire resilienza e fiducia
Gli sportelli automatici rimangono una componente fondamentale dell’infrastruttura bancaria. La loro accessibilità e complessità li rendono obiettivi appetibili per i criminali informatici.
È quindi fondamentale per le banche e gli operatori di ATM rimanere sempre vigili adottando strategie Zero Trust, mantenendo un monitoraggio continuo e implementando contromisure proattive per difendersi dalle minacce note ed emergenti, anche se provengono da processi legittimi.
Il controllo dell’hardware e del software, la limitazione dei comandi autorizzati al funzionamento dell’ATM, la protezione dei dati sensibili e la capacità di anticipare nuove minacce sono elementi essenziali per una difesa efficace.
Comprendere i comportamenti, il ciclo di vita e i metodi di attivazione del malware degli ATM e adottare un approccio multilivello alla sicurezza informatica consente alle banche di garantire la disponibilità, l’affidabilità e la sicurezza delle reti ATM. Tutto questo contribuisce a preservare la fiducia dei clienti verso la banca, in un contesto in cui le minacce continuano ad evolversi.
