Hacks Dirigidos a Caixas Eletrônicos: Detectando Ataques que Começam com Credenciais Válidas



Existe um novo tipo de hack rondando, e o Serviço Secreto dos Estados Unidos o está chamando “Operação Ilimitada” (link em inglês).  Dirigido a Caixas Eletrônicos (ATM) pertencentes a bancos pequenos e médios, os hackers usam credenciais roubadas para acessar os painéis de controle do sistema de administração remota dos caixas e mudam o limite de saque a “Ilimitado.”Logo após, eles usam cartões de débito roubados para retirar a maior quantidade de dinheiro possível, às vezes mais do que as vítimas têm nas suas contas. 

Tirem a tecnologia deste cenário, e temos um problema ao estilo do filme “Ocean’sEleven.” Chaves roubadas, bombas de fumaça lançadas, cofres abertos e os caras ruinsescapando com sacos cheios de dinheiro. Em termos cibernéticos, esta situação é assim:

·         Um ataque de phishingdirecionado (spear-phishing) põe malware no computador de um empregado – sistema dominado!

·         O hacker monitora o computador para ver como é que o administrador acessa normalmente ao painel de administração remota do sistema de caixas eletrônicos do banco. 

·         O hacker usa um ataque de negação de serviço (DDoS) para distrair a equipe de segurança do banco enquanto ele acessa o painel de administração do caixa 

·         O hacker remove o limite de saque para certos caixas e/ou contas bancárias. 

·         O caixa não foi comprometido: os limites foram controlados mediante um painel de administração legítimo. 

Como Jason escreveu no artigo sobre hacks ao RDP, “... estas ameaças são baseadas completamente no processo de acesso: não implicam malware nem as vulnerabilidades dos sistemas. Nenhum sistema de detecção de malware poderia identificar estas ameaças porque elas usam credenciais de acesso válidas.” A pesar disto, a análise de dispositivos poderia ter detectado o malware executado no computador comprometido se o banco usasse este enfoque: 

·         Auditar os computadores dos empregados e criar um ponto de referência dos processos e do comportamento “normal”. 


·         Executar escanadas regularmente para ver se algum computador está correndo processos não admitidos ou conexões remotas suspeitas, provavelmente baseando-se na locação do IP remoto ou do domínio. 


·         Realizar buscas regulares para encontrar anomalias. 

EnCase Analytics foi criado para descobrir este tipo de atividade anormal na era em que o compromisso já é assumido. Aprenda mais sobre este tema aqui. Comentários são benvindos na seção de comentários abaixo.

Artigo traduzido do original em inglês “ATM Hacks: SpottingAttacksthat Begin withValidLoginCredentials”, escrito por Alfred Chung, Gerente de Produto para EnCase Analytics.


RELACIONADOS

Evitando Fuga De Dados Em Terminais POS Com EnCase®










No comments :

Post a Comment