Existe um
novo tipo de hack rondando, e o Serviço Secreto dos Estados Unidos o está
chamando “Operação Ilimitada” (link em inglês). Dirigido a Caixas Eletrônicos (ATM)
pertencentes a bancos pequenos e médios, os hackers usam credenciais roubadas
para acessar os painéis de controle do sistema de administração remota dos caixas
e mudam o limite de saque a “Ilimitado.”Logo após, eles usam cartões de débito
roubados para retirar a maior quantidade de dinheiro possível, às vezes mais do
que as vítimas têm nas suas contas.
Tirem a
tecnologia deste cenário, e temos um problema ao estilo do filme
“Ocean’sEleven.” Chaves roubadas, bombas de fumaça lançadas, cofres abertos e
os caras ruinsescapando com sacos cheios de dinheiro. Em termos cibernéticos,
esta situação é assim:
·
Um
ataque de phishingdirecionado (spear-phishing) põe malware no computador de um
empregado – sistema dominado!
·
O
hacker monitora o computador para ver como é que o administrador acessa
normalmente ao painel de administração remota do sistema de caixas eletrônicos
do banco.
·
O
hacker usa um ataque de negação de serviço (DDoS) para distrair a equipe de
segurança do banco enquanto ele acessa o painel de administração do caixa
·
O
hacker remove o limite de saque para certos caixas e/ou contas bancárias.
·
O
caixa não foi comprometido: os limites foram controlados mediante um painel de
administração legítimo.
Como Jason
escreveu no artigo sobre hacks ao RDP, “... estas ameaças são baseadas
completamente no processo de acesso: não implicam malware nem as
vulnerabilidades dos sistemas. Nenhum sistema de detecção de malware poderia
identificar estas ameaças porque elas usam credenciais de acesso válidas.” A
pesar disto, a análise de dispositivos poderia ter detectado o malware executado
no computador comprometido se o banco usasse este enfoque:
·
Auditar
os computadores dos empregados e criar um ponto de referência dos processos e
do comportamento “normal”.
·
Executar
escanadas regularmente para ver se algum computador está correndo processos não
admitidos ou conexões remotas suspeitas, provavelmente baseando-se na locação
do IP remoto ou do domínio.
·
Realizar
buscas regulares para encontrar anomalias.
EnCase
Analytics foi criado para descobrir este tipo de atividade anormal na era em
que o compromisso já é assumido. Aprenda mais sobre este tema aqui. Comentários são benvindos na seção
de comentários abaixo.
–Artigo traduzido do original em inglês “ATM Hacks: SpottingAttacksthat Begin
withValidLoginCredentials”, escrito por Alfred Chung, Gerente de
Produto para EnCase Analytics.
RELACIONADOS
Evitando Fuga De Dados Em Terminais POS Com EnCase®
No comments :
Post a Comment