Roma – Gli attacchi ai bancomat, sempre più evoluti, non abbandonano le proprie origini: stando a quanto afferma Kaspersky Lab si sta diffondendo l’ennesima versione dello storico skimer .
Se i cosiddetti skimmer sono veri e propri dispositivi fisici da sovrapporre agli ATM per carpire informazioni attraverso l’utilizzo di hardware del tutto indipendente dall’ATM stesso, skimer è il nome di un gruppo cybercriminale e del software di cui fa uso per appropriarsi dei dati delle carte degli utenti e prelevare dai bancomat in maniera truffaldina. Una nuova versione del codice è stata isolata nelle ultime settimane, ma il modello di attacco da cui discende è stato per la prima volta scoperto nel 2009 , già evoluto nella famiglia di malware Tyupkin .
Come opera l’ ultima versione individuata dai ricercatori di Kaspersky? Inizia attraverso un accesso fisico all’ATM o mediante network interno alla banca. Viene installata una backdoor, nella fattispecie il file Backdoor.Win32.Skimer , sugli ATM basati su sistema operativo Windows. Da quel momento skimer può entrare silenziosamente in azione, ma non prima di aver ricevuto un particolare segnale fornito da una apposita “carta di credito”.
All’atto dell’inserimento della carta di sblocco, e quindi delle necessarie credenziali, il criminale ha la possibilità di accedere a un vasto menù di comandi. Può essere attivato come come uno skimmer fisico e dunque collezionare i dati di tutti i correntisti che avranno operato al terminale. Ciò consentirà la clonazione delle loro carte. Proprio questo è uno degli aspetti più insidiosi: un normale utente difficilmente potrà notare di essere di fronte ad un ATM caduto sotto il controllo di criminali. Gli può essere inoltre impartito l’ordine di erogare contanti , ma il criminale può anche innescare l’ aggiornamento e la cancellazione della backdoor .
La minaccia è stata rilevata negli Emirati Arabi, Cina, Russia, Stati Uniti, Macao, Filippine, Brasile ma anche in Repubblica Ceca, Georgia, Polonia, Francia, Spagna e Germania. Appare quindi concreta la possibilità che presto si affacci anche ai nostri confini. L’attacco sarebbe di origine russa e Kaspersky ammette candidamente di non avere, per il momento, una concreta dimensione numerica sulla vastità del fenomeno. Quali le contromisure consigliate? Scadendo nell’ovvio, scansioni antivirus ma anche crittografia del disco, la protezione con password del BIOS del bancomat, consentendo solo l’avvio dell’hard disk, e l’isolamento dall’ATM dalla rete interna.
effepì