Sebezhető pénzkiadó automaták

A pénzkiadó automaták több védelmi megoldást tartalmaznak, de gyenge pontok ezeken is akadnak.

Az USA-ban megjelent sajtóhírek szerint hackereknek 2007 októbere és 2008 márciusa között sikerült hozzáférniük a Citibank pénzautomatáihoz (ATM). A tolvajok legalább kétmillió amerikai dollárt zsákmányoltak elfogásuk előtt a PIN-kódok kikémlelésével. Dr. Klaus Gheri, a Phion stratégiai termékirányításáért felelős társalapító igazgatója kommentálja a pénzkiadó automatákkal kapcsolatos veszélyeket.

“Maga az ATM fizikai értelemben egy jól biztosított rendszer. A gépből kivezető hálózati kábel azonban nem. Ezért biztonsági okokból alapvető fontosságú, hogy a pénzautomata és a központi szerverrendszer közötti kommunikáció titkosított legyen. A csatlakozás ellen intézett támadás valószínűleg nem lett volna sikeres, ha ezt az egyszerű módszert alkalmazták volna. Erre a célra a bankoknak — hasonlóan a mobil munkatársakat alkalmazó vállalatokhoz — létre kell hozniuk egy virtuális privát hálózatot (VPN), amely támogatja mind a kódolt, mind a biztonsági kommunikációt.”

Azonban a rejtjelezéshez szükséges további szoftvermegoldás installálása sértheti a pénzautomata-gyártókkal már megkötött szolgálati szintű megállapodásokat. Így az egyedüli lehetséges intézkedés a rendszeren belüli kommunikáció titkosítása és a védelem biztosítása a hálózat felől a tűzfalon/VPN-eszközökön keresztül érkező támadások ellen, véli a Phion. A bankokra váró kihívást a VPN-dobozoknak közvetlenül az ATM-szekrényekbe történő beszerelése jelenti. Itt azonban vannak helykorlátozások, és a kültérben elhelyezett gépek óriási hőmérsékletingadozásoknak vannak kitéve évszaktól függően. Ezen kívül a hagyományos VPN-kezelési megoldások nem képesek megbirkózni a nagyszámú helyszínnel, a helyszíni szerviz pedig túl költséges lehet.

“A pénzautomaták elleni támadások komoly szakértelmet és hatalmas erőfeszítést igényelnek. Magánügyfelek számára sokkal kisebb annak valószínűsége, hogy ilyen támadás éri őket, mint egy hitelkártyacsalásé.” — tette hozzá a Phion szakembere.

A Citibank esetét egyelőre csak a támadókkal szembeni jogi eljárások részeként publikálták, csalási módszereik még nem ismertek. Annyit lehet tudni, hogy támadásaikat távolról hajtották végre anélkül, hogy közel kerültek volna a pénzautomatákhoz. Az érintett ATM-eket a Citibank megbízásából külső társaságok üzemeltették.