Bancomat vulnerabili

Le slot machine includono diverse soluzioni di protezione, ma ci sono anche punti deboli.

Secondo notizie di stampa diffuse negli Stati Uniti, gli hacker sono riusciti ad accedere agli sportelli automatici di Citibank tra ottobre 2007 e marzo 2008. I ladri hanno saccheggiato almeno due milioni di dollari spiando i PIN prima di catturarli. Il Dr. Klaus Gheri, co-fondatore di Strategic Product Management di Phion, commenta i pericoli associati alle slot machine.

“Maga az ATM fizikai értelemben egy jól biztosított rendszer. A gépből kivezető hálózati kábel azonban nem. Ezért biztonsági okokból alapvető fontosságú, hogy a pénzautomata és a központi szerverrendszer közötti kommunikáció titkosított legyen. A csatlakozás ellen intézett támadás valószínűleg nem lett volna sikeres, ha ezt az egyszerű módszert alkalmazták volna. Erre a célra a bankoknak — hasonlóan a mobil munkatársakat alkalmazó vállalatokhoz — létre kell hozniuk egy virtuális privát hálózatot (VPN), amely támogatja mind a kódolt, mind a biztonsági kommunikációt.”

Tuttavia, l'installazione di una soluzione software aggiuntiva per la crittografia potrebbe violare gli accordi sul livello di servizio già stipulati con i produttori di distributori automatici. Pertanto, l'unica misura possibile è crittografare la comunicazione all'interno del sistema e fornire protezione contro gli attacchi dalla rete attraverso i dispositivi firewall/VPN, ritiene Phion. La sfida per le banche consiste nell'installare box VPN direttamente negli armadietti ATM. Qui, però, ci sono vincoli di spazio, e le macchine poste all'aperto sono soggette a enormi sbalzi di temperatura a seconda della stagione. Inoltre, le tradizionali soluzioni di gestione VPN non possono far fronte a un numero elevato di siti e l'assistenza in loco può essere troppo costosa.

“A pénzautomaták elleni támadások komoly szakértelmet és hatalmas erőfeszítést igényelnek. Magánügyfelek számára sokkal kisebb annak valószínűsége, hogy ilyen támadás éri őket, mint egy hitelkártyacsalásé.” — tette hozzá a Phion szakembere.

Il caso di Citibank è stato finora pubblicato solo nell'ambito di un procedimento legale contro gli aggressori e le loro modalità di frode non sono ancora note. Tutto quello che sai è che i loro attacchi sono stati effettuati a distanza senza avvicinarsi agli sportelli automatici. Gli ATM interessati erano gestiti da società esterne per conto di Citibank.