Skimer opäť útočí

Po rusky hovoriaca skupina Skimer, ktorá sa vo svojich zločineckých aktivitách zameriava na bankomaty po celom svete, sa opäť hlási o slovo.

Malvér Skimer sa objavil v roku 2009 ako jeden z prvých škodlivých programov napádajúcich bankomaty. Posledná verzia tohto malvéru sa objavila v máji tohto roku. Teraz však ide o oveľa vyspelejšiu formu, ktorá sa prispôsobila technologickému vývoju. S napadnutým bankomatom dokáže v tichosti spolunažívať aj niekoľko mesiacov a bez povšimnutia parazitovať na dátach z kariet používateľov.

Šírenie infekcie

bankomat-karl-gruberAktivita skupiny Skimer sa začína získaním prístupu do systému bankomatu – či už prostredníctvom fyzického prístupu alebo cez internú sieť príslušnej banky. Hneď po tom, ako dôjde k úspešnej inštalácii škodlivého programu (v tomto prípade ide konkrétne o verziu Backdooor.Win32.Skimer), infikuje sa jadro bankomatu. Skimer tak získava nadvládu nad interakciami s bankovou infraštruktúrou, finančnými operáciami a kreditnými kartami. Napadnutý bankomat začína okamžite spolupracovať s podvodníkmi. V tomto prípade už nie je potrebná inštalácia podvodnej čítačky kariet, nová verzia Skimera urobila čítačku zo samotného bankomatu. Zločinci si tak s jeho pomocou môžu pokojne vybrať z bankomatu všetky finančné prostriedky. Rovnako sa môžu zmocniť údajov z kariet vrátane čísel bankových účtov a PIN kódov používateľov bez toho, aby si to vôbec všimli. Pre bežného používateľa je takmer nemožné odhaliť tento podvod.

Spiaci Zombie

Zločinecká skupina je veľmi opatrná, jej cieľom je starostlivo ukryť akékoľvek stopy. Len tak môže malvér bezpečne operovať bez povšimnutia. Skimer ťaží z toho, že malvér parazitujúci vnútri bankomatu dokáže sťahovať dáta z kariet pomerne dlhý čas bez povšimnutia. V spánkovom režime dokáže malvér vydržať niekoľko mesiacov. Na jeho prebudenie používajú kriminálnici kartu so špeciálnym kódom, nahratým na jej magnetickom pásiku. Okamžite po načítaní kódu dostane malvér povel na aktiváciu. Hneď po vysunutí karty sa na obrazovke bankomatu objaví špeciálne grafické rozhranie požadujúce zadanie správneho číselného kľúča. Ten musí podvodník vyťukať na klávesnici do 60 sekúnd od vyzvania. Pomocou špeciálneho menu vedia zločinci aktivovať 21 rozličných príkazov, napríklad výdaj hotovosti (40 bankoviek z vybraného zásobníka), sťahovanie údajov z vložených kariet, samomazanie, aktualizáciu atď. Navyše pri sťahovaní údajov z karty dokáže Skimer ukladať súbory s kópiami záznamov a PIN kódov priamo do čipu na karte alebo vytlačiť detaily karty na bankomatovú potvrdenku.

Vo väčšine prípadov sa však podvodníci rozhodnú počkať a pomaly sťahovať dáta z kariet vložených do bankomatu, z ktorých si neskôr vytvoria kópie. Získané a skopírované údaje potom zneužijú pri operáciách v iných (neinfikovaných) bankomatoch. Týmto spôsobom zakrývajú stopy k napadnutému bankomatu, ktorý sa potom dá len ťažko odhaliť.

Prevencia 

Experti zo spoločnosti Kaspersky Lab odporúčajú pravidelné antivírusové skenovanie, používanie len bezpečných a overených technológií, správnu starostlivosť o zariadenia, úplné šifrovanie disku, ochranu centra bankomatu (ATM BIOS) pomocou hesla, naštartovanie systému len pomocou HDD a izoláciu bankomatovej siete od ostatných interných bankových sietí.

Skimer sa aktivuje pri rozpoznaní spravidla 9-miestneho číselného kľúča nahraného na magnetickom pásiku karty. Podarilo sa nám zistiť číselné kódy využívané týmto malvérom a poskytli sme ich bezplatne aj bankám. Banky tak môžu skontrolovať, či sa tieto číselné kódy nenachádzajú v ich systémoch, identifikovať potenciálne napadnuté bankomaty alebo zablokovať akýkoľvek pokus útočníkov aktivovať malvér, povedal Sergej Golovanov, hlavný výskumník Kaspersky Lab.

V spolupráci s PC Revue

Foto Karl Gruber/Wikimedia Commons, Pixabay),