ATM dolandırıcıları artıyor: Rus siber örgütü geri döndü

Milenyum döneminin ATM dolandırıcısı olarak adlandırılan Rus örgüt geri döndü.

ATM'lere yönelik siber saldırılar ve keylogger işlemler artış gösteriyor. ATM'leri çalıştıran işletim sistemleri de gittikçe eskiyor ve dünya çapında bankalar buna önlem alabilmek için daha güncel işletim sistemini çalıştırmaya başladılar. Türkiye'de ise halen ATM'lerde Windows XP işletim sistemi kullanılıyor. Microsoft'un desteğini çektiği işletim sistemi...

2000 yılında Rus bir siber dolandırıcı grubunun, ATM’leri kullanıcılarının paralarını çalmak amacıyla kullandığı keşfedilmişti. Bu; ATM’leri hedef alan ilk kötü amaçlı programdı. Yedi yıl sonra, siber suçlular bu kötü amaçlı programı yeniden kullanmaya başladı: ancak hem hırsızlar, hem de programlar gelişti. Bu kez dünyadaki bankalara ve müşterilerine karşı daha da gelişmiş bir tehdit sözkonusu.

Skimer grubu, eylemlerine ATM sistemlerine erişim sağlayarak başladı. Bu erişim fiziksel olabileceği gibi bankanın kendi iç ağı üzerinden de olabiliyor. Daha sonra ise Backdoor.Win32.Skimer’in sisteme başarılı bir şekilde kurulmasının ardından ATM’nin çekirdeğine ulaştı.

 

Programın bulaştığı ATM’ler üzerinde suçlular bu şekilde tam kontrol sahibi oluyorlar, yine de dikkatli bir şekilde adım atıyorlar ve bu alanda yetenek sahibi oldukları eylemlerinden anlaşılıyor. Dolandırıcı aygıtlarını (gerçek kart okuyucu üzerinde kurulmuş gerçek gibi görünen sahte kart okuyucu) kart bilgilerini çalmak için kurmak yerine, tüm ATM’yi dolandırıcı cihazı haline getiriyorlar.

 

ATM’ye Backdoor.Win32.Skimer’in başarıyla bulaşmasının ardından, suçlular ATM’deki tüm parayı çekebiliyorlar veya ATM’de kullanılmış olan kartlara ait bilgileri alabiliyorlar: bu bilgiler arasında müşterinin banka hesap numarası ve kart şifresi de var. ATM’yi kullanan herhangi bir kişinin bu ATM’yi normalinden ayırt etmesi mümkün değil. Kötü amaçlı olduklarına dair herhangi bir fiziksel işaret yok, dolandırıcı cihazlarla olan durumlarda ise tam tersi, daha profesyonel bir kullanıcı makinenin gerçek kart okuyucuyla yer değiştirdiğini fark edebiliyor.

Para kutularından direkt para çekilmesi durumunda, ilk tahsilatın hemen ardından bu durum anında ortaya çıkıyor, ancak ATM içindeki kötü amaçlı yazılım uzun zaman boyunca kartlardan veri çalabiliyor. Bu yüzden Skimer suçlular hemen harekete geçmez, izlerini saklama konusunda çok dikkatlidirler: kötü amaçlı yazılımlar, bulaştıkları ATM üzerinde herhangi bir aktiviteye girişmeden birkaç ay boyunca işleyebilir.

Programı harekete geçirmek için, suçlular manyetik şerit üzerinde belirli kayıtlar bulunan özel bir kart sokuyorlar. Kayıtları okuduktan sonra, Skimer hem içine gömülmüş komutları çalıştırabiliyor hem de kart tarafından aktif hale getirilen özel bir menu üzerinden komut isteyebiliyor. Skimer’in grafik arayüzü ekrana yalnızca kart çıkarıldıktan en geç 60 saniye sonra tuş takımına suçlu tarafından doğru oturum şifresi girildiği takdirde geliyor.

Bu menünün yardımıyla, suçlu para dağıtımı (belirli kutudan 40 hesap), girilen kart bilgilerini toplama, kendini slime, güncelleme (kart çipine gömülü güncellenmiş kötü amaçlı koddan) vs. gibi 21 farklı komutu aktif hale getirilebiliyor. Ayrıca kart bilgilerini toplarken, Skimer aynı kartın çipi üzerindeki döküm ve şifrelerle dosyayı kaydedebilir veya topladığı kart bilgilerini ATM makbuzu üzerine yazdırabiliyor.

Olayların büyük çoğunda suçlular beklemeyi ve daha sonra kopyalarını yapabilmek üzere kart bilgileri toplamayı seçiyor. Bu kopyalarla farklı ve temiz bir ATM’ye gidiyorlar ve müşterilerin hesaplarından gelişigüzel bir biçimde para çekiyorlar. Bu yöntemle suçlular, kötü amaçlı program bulaşan ATM’lerin yakın zamanda tespit edilemeyeceğinden emin oluyor.

Skimer 2010 ve 2013 yılları arasında kapsamlı bir biçimde dağıtıldı. Ortaya çıkışının ardından, Kaspersky Lab tarafından tanımlanan dokuz farklı kötü amaçlı yazılım ailesiyle birlikte, ATM’lere yapılan saldırılardaki sayı şiddetli bir biçimde artış gösterdi. Buna Mart 2014’te keşfedilen ve en popüler ve yaygın kötü amaçlı yazılım haline gelen Tyupkin family de dahil. Yine de, şu an Backdoor.Win32.Skimer yeniden harekete geçmiş gibi görünüyor. Kaspersky Lab şu an, en büyük imalatçıların yalnızca birinin ATM’lerini hedef alan 37 modifikasyonuyla birlikte bu kötü amaçlı yazılımın 49 modifikasyonunu tanıyor. En güncel sürümü Mayıs 2016’nın başında keşfedildi.

VirusTotal’e sunulan numunelerin yardımıyla, bu yazılımın bulaştığı potansiyel ATM’lerin çok geniş coğrafik bir dağılımda olduğunu görebiliyoruz. Skimer ailesinin son 20 numunesi dünya çapında 10’dan fazla lokasyon üzerinden yüklendi: BAE, Fransa, ABD, Rusya, Macao, Çin, Filipinler, İspanya, Almanya, Gürcistan, Polonya, Brezilya, Çek Cumhuriyeti.

Bu tehdidi önlemek için, Kaspersky Lab beyaz liste teknoloji kullanımı, iyi bir cihaz yönetim politikası, tam disk şifrelemesi, ATM’nin BIOS’unu bir şifreyle koruma, yalnızca HDD önyüklemesine izin verme ve ATM ağını diğer banka içi ağlardan izole etmenin eşlik ettiği düzenli AV taramalarının yapılmasını öneriyor.

reklam

Yorumlar

Yorumunuzu yazın

Yorumunuzu bizimle paylaşabilirsiniz

GÜNCEL İÇERİKLER
reklam

Popüler İçerikler

reklam