Anche gli sportelli bancomat vengono violati. Anzi, gli attacchi malware ai danni degli ATM sono più che raddoppiati nel biennio fra il 2017 e il 2019. Il dato di per sé non stupisce, dato che gli sportelli contengono soldi, gli stessi che muovono qualsiasi attacco alla cyber sicurezza.

Il guaio è che difendere uno sportello bancomat è molto difficile. Molti ancora oggi hanno collegamenti molto lenti. Alcuni dispongono di una larghezza di banda appena sufficiente per gestire le transazioni, figuriamoci per monitorare le potenziali minacce.

È per questo che molti gruppi criminali investono costantemente nello sviluppo di malware mirati per violare gli sportelli ATM. Alla luce di quanto rilevato negli ultimi due anni, gli esperti di sicurezza di Kaspersky hanno pubblicato le loro previsioni per il 2020 per questo settore molto verticale, ma molto importante.
Sebbene all'interno di questi prodotti ci siano normali computer, attaccare gli sportelli bancomat è diverso dal violare un computer domestico o aziendale. Non si possono certo usare gli strumenti tradizionali del mestiere, come le email di phishing o siti web falsi.

Tuttavia, gli sportelli bancomat hanno anche diverse caratteristiche comuni con gli altri PC, che li rendono particolarmente vulnerabili agli attacchi. Usano sistemi operativi obsoleti e software ancora più datati. Gli aggiornamenti possono essere installati esclusivamente dai fornitori, e spesso non ci sono perché i software in uso sono troppo vecchi.

I malware per sportelli bancomat sono pochi e uguali in tutto il mondo, e sono in aumento. Hanno solo due obiettivi: rubare le informazioni dei clienti (PIN e numero della carta) o rubare direttamente il contante dalla banca. La svolta nel numero di attacchi si è verificata nel 2018, per mantenersi sostanzialmente stabile nel 2019. Come si può vedere dai grafici, al Russia è il paese più tartassato, ma anche l'Italia appare comunque in top 10.

I malware bancomat più diffusi

La minaccia più diffusa è un malware soprannominato ATMJackpot, apparso per la prima volta a Taiwan nel 2016. Infetta le reti interne delle banche, consentendole di prelevare fondi direttamente dal bancomat. Il 2018 è stato l'anno del debutto di WinPot. È progettato per fare che il bancomat infetto eroghi automaticamente tutti i contanti di cui dispone.  Il codice include un contatore che disattiva automaticamente il malware dopo una certa data. Di questo tipo è anche ATMWizX, un malware scoperto nell'autunno del 2018.

Sono di tipo differente invece i malware come Ice5. Per infettare gli sportelli necessita di una connessione fisica tramite porta USB. ATMTest è un'infezione che richiede l'accesso da console. Significa che gli aggressori devono ottenere l'accesso remoto alle reti della banca. È stato originariamente codificato per rubare rubli, ma poi si è diffuso anche in altri continenti.
Fra le minacce più pericolose figura Peralta, evoluzione del famigerato progetto di malware ATM chiamato Ploutus, che ha portato a perdite per oltre 64 milioni di dollari.

Un futuro difficile

I malware per sportelli bancomat continueranno ad evolversi e a diffondersi in tutto il mondo. Le nuove tendenze, che nascono in un continente preciso, poi dilagano a macchia d'olio a conferma che il mondo del malware ATM è tuttora in evoluzione.

Gli istituti finanziari dovrebbero realizzare e aggiornare frequentemente un modello di minaccia. Deve tenere conto dell'architettura di rete, della posizione fisica in cui è installato il bancomat e dei software. I terminali con una versione del sistema operativo prossima alla fine del supporto sono da sostituire. In caso non sia possibile, occorre predisporre soluzioni di sicurezza appropriate, che non influiscano sulla produttività del dispositivo ma lo proteggano.

Nel caso i prodotti siano basati su Windows, occorre una protezione a più livelli. Sono infatti questi i modelli più bersagliati dagli attacchi. Inoltre, vale la pena ricordare che oltre al denaro contante gli sportelli bancomat raccolgono anche informazioni personali che possono essere un obiettivo per gli attaccanti. È quindi doverosa l'implementazione del monitoraggio dell'integrità dei file e l'ispezione dei log, per rilevare possibili modifiche non autorizzate.