Skimer je nazaj
3 min read
Rusko govoreča skupina kibernetskih kriminalcev Skimer prek bančnih avtomatov uporabnikom krade denar. Prva, istoimenska zlonamerna programska oprema Skimer, ki je predstavljala neposredno grožnjo bančnim avtomatom, je bila odkrita v 2009. Sedem let pozneje so jo spletni kriminalci obudili in korenito posodobili, sedaj gre za res napredno grožnjo bankam in njihovim komitentom po vsem svetu.
Med preiskavo odzivanja na incidente je ekipa strokovnjakov Kaspersky Laba odkrila sledi izboljšane različice zlonamerne programske opreme Skimer na bančnem avtomatu ene od bank. Oprema je sicer bila nameščena, a še neaktivirana. Čakala je namreč na ukaz kibernetskih kriminalcev. Skupina Skimer svojo operacijo začne s pridobitvijo dostopa do sistema bančnega avtomata, bodisi fizičnega dostopa bodisi prek notranjega omrežja banke. Po uspešni namestitvi stranskih vrat v sistem (Backdoor.Win32.Skimer) pride do okužbe jedra bančnega avtomata, odgovornega za interakcije naprave z bančno infrastrukturo, procesiranje gotovine in kreditnih kartic.
S tem dobijo kriminalci popolni nadzor nad okuženimi bančnimi avtomati, vendar so pri svojih dejanjih previdni in spretni. Namesto nameščanja lažnih naprav, imenovanih »skimmers«, ki so podobne uradnim bralnikom in prestrežejo podatke na kartici, kar sam bančni avtomat spremenijo v takšno napravo. Prek bančnega avtomata, ki ima uspešno nameščena stranska vrata Backdoor.Win32.Skimer, lahko kriminalci izplačajo vsa sredstva v avtomatu ali s kartic, uporabljenih na avtomatu, zajamejo podatke, vključno s številko komitentovega bančnega računa in številko PIN. Preprosti uporabniki okuženega bančnega avtomata ne morejo prepoznati, saj ti ne kažejo fizičnih znakov okužbe z zlonamerno programsko opremo. Nasprotno je v primerih naprave »skimmer«, katero uporabnik z več znanja lahko odkrije, če naprava zamenja uraden bralnik kartic na bančnem avtomatu.
Dvig gotovine iz kasete je viden takoj po izplačilu, medtem ko lahko zlonamerna programska oprema v bančnem avtomatu varno zbira podatke s kartic dalj časa. Zato kriminalci skupine Skimer ne ukrepajo takoj, saj so zelo previdni pri skrivanju svojih sledi. Njihova zlonamerna programska oprema lahko na okuženem bančnem avtomatu deluje tudi več mesecev brez izvajanja kakšne koli aktivnosti.
Programska oprema postane aktivna šele po tem, ko kriminalci vstavijo posebno kartico, ki ima na magnetnem traku določene zapise. Zlonamerna programska oprema Skimer nato po prepoznavi zapisov ali izvrši kodiran ukaz ali zaprosi za ukaze prek posebnega menija, ki ga aktivira kartica. Grafični vmesnik zlonamerne programske opreme Skimer se na zaslonu pojavi le v primeru, ko bančni avtomat izvrže kartico in če kriminalec vnese pravi ključ s pomočjo tipkovnice za vnos številke PIN v poseben obrazec v manj kot 60 sekundah.
S pomočjo tega menija lahko kriminalec aktivira 21 različnih ukazov, kot so izplačilo denarja (40 bankovcev iz izbrane kasete), zbiranje podatkov o vstavljenih karticah, samo-izbris, posodobitev (posodobljena zlonamerna koda je na čipu kartice), ipd. Pri pridobivanju podrobnosti kartice lahko zlonamerna programska oprema Skimer shrani datoteko z zbranimi podatki, vključno s številkami PIN, na čip iste kartice ali celo natisne zbrane podatke na izpiske na bančnih avtomatih.
V večini primerov kriminalci raje počakajo in zberejo podatke s kartic, da bi kasneje ustvarili kopije teh kartic. S temi kopijami gredo na drug bančni avtomat, ki ni okužen, in občasno dvignejo denar z računov komitentov. Na ta način kriminalci zagotovijo, da okužen bančni avtomat hitro ne bo razkrit.
