Tomado de: http://recorriendo-los-caminos-de-encase.blogspot.com/2014/04/hackeos-atms-detectando-ataques-que.html
Se respetan derechos de autor.
Hackeos a ATMs: Detectando Ataques Que Inician Con Una Credencial de Acceso Válido
Se respetan derechos de autor.
Hackeos a ATMs: Detectando Ataques Que Inician Con Una Credencial de Acceso Válido
Hay un nuevo hack en la ciudad y el Servicio
Secreto de los Estados Unidos le llama “Operación Ilimitada”. Con el foco en
ATMs de bancos pequeños o medianos, los hackers usan credenciales robadas para
entrar al panel de sistema de administración remota del ATM y así cambiar el
límite de extracción de dinero a “ilimitado”. Posteriormente usan las tarjetas
de débito robadas para extraer la mayor cantidad de dinero posible, a veces más
de lo que las víctimas tienen en sus cuentas.
Quiten la tecnología de este escenario y es un
lío al estilo “Oceans Eleven”. Llaves son robadas, bombas de humo son lanzadas,
cajas fuertes son quebradas y los chicos malos se fugan con bolsas grandes de
dinero. Así es como se ve en ciber – términos:
·
Un ataque exitoso de phishing
orientado coloca malware en la estación de trabajo de un empleado. ¡Sistema
atacado!
·
El hacker monitorea la estación de
trabajo/dispositivo para ver cómo es que se logea normalmente el administrador
al panel de administración remota del sistema de ATMs del banco
·
El hacker usa un ataque DDoS para
distraer la seguridad del banco mientras se logea al panel de administración
del ATM
·
El hacker remueve los límites de
extracción para algunas cuentas de ATM y/o cuentas de banco
·
El ATM se mantiene sin
compromisos: los límites son controlados mediante una consola de administración
legítima.
Como escribió Jason en su blog post sobre
Hacks RDP, “… es una amenaza basada netamente en el acceso: sin malware, sin
exploit de por medio. Ningún sistema de detección de malware podría identificar
estas amenazas porque usaron credenciales
de acceso válidas.” Sin embargo, los análisis de dispositivos podrían
detectar el malware corriendo en la estación de trabajo comprometida si el
banco tomase este enfoque:
·
Auditar las estaciones de trabajo
de los empleados y crear lineamientos base para comportamiento y procesos
“normales” para cada uno
·
Realizar escaneos regulares para
ver si alguno está corriendo un proceso que no esté en la lista blanca o tenga
conexiones remotas sospechosas, quizás basados en la geografía o el IP remoto o
dominio
·
Realizar búsquedas/cazas regulares
de anomalías
EnCase Analytics fue creado para detectar
actividad inusual como esta en la era de compromiso asumido. Puede aprender más
acerca de esto aquí. ¿Comentarios? Las discusiones son bienvenidas en la
sección de Comentarios más abajo.
Alfred
Chung es el Encargado de Productos de EnCase Analytics en Guidance Software, si
desea ver el artículo en inglés haga clic aquí.