ULTIME NEWS: Gyala riconosciuta Sample Vendor nel documento “Emerging Tech: AI in CPS Security” di Gartner Leggi

La Cyber Security nel Mercato Finanziario

Le nuove sfide

È di Luglio 2024 la “prova di stress” sulla resilienza cyber, che la BCE ha condotto e concluso su 109 banche, 28 delle quali sono state interessate in maniera più approfondita. L’obiettivo era quello di valutare la resilienza delle strutture a fronte di un attacco (simulato) con obiettivo l’istituto bancario,  per contrastare il quale le banche hanno dovuto  attivare i piani di risposta e continuità: mitigazione, ripristino, gestione comunicazioni (interne, clienti, fornitori e forze dell’ordine).  

Il resoconto sarà riportato nel SREP 2024 (Supervisory Review and Evaluation Process) che ha l’obiettivo di indicare le priorità per il 2024-2026: lo scopo principale della pianificazione strategica della vigilanza bancaria della BCE è infatti quello di sviluppare una strategia solida per i prossimi tre anni.  Le priorità indicate di seguito avranno il fine di promuovere l’efficacia e la coerenza nella pianificazione della vigilanza dei Joint Supervisory Team (JST) e supporteranno un’allocazione più efficiente delle risorse, in linea con l’impostazione dei corrispondenti livelli di tolleranza al rischio. 

In the context of the SSM supervisory priorities for 2024-2026, supervised institutions will primarily be asked to strengthen their resilience to immediate macro-financial and geopolitical shocks (Priority 1), as well as accelerate the effective remediation of shortcomings in governance and the management of C&E risks (Priority 2) and make further progress in their digital transformation and building robust operational resilience frameworks (Priority 3)“. (fonte ECB Banking Supervision)  

L’analisi è una stretta conseguenza di un importante incremento di segnalazioni di attacchi inviate alla BCE da parte degli istituti finanziari, complici le carenze infrastrutturali degli istituti come sistemi EoL (ovvero obsoleti e in Endo Of Life) e un crescente utilizzo del Cloud –con la difficoltà di gestione della catena di sicurezza della supply chain dei fornitori terzi.

Approfondiamo i perché di questa corsa alla protezione 

All’inizio dell’anno la BCE aveva dichiarato – dopo aver fatto ispezioni in 22 banche di 11 Paesi. «Le lacune sono state più gravi e diffuse del previsto. Sono state rilevate carenze in tutte le aree della cybersecurity», e spinta ad adottare contromisure effettive ed efficaci per alzare le difese, ha introdotto l’attività di stress test – poi condotta – per analizzare e poi dare le direttive per colmare tali lacune.

Geopolitica e Cybersecurity: un contesto di crescente tensione 

L’instabilità geopolitica contribuisce ad amplificare il rischio informatico: nazioni rivali, gruppi di attacco sponsorizzati dallo stato e organizzazioni criminali sanno che per destabilizzare i mercati dei paesi che intendono attaccare, le banche sono un bersaglio da privilegiare. 

In questo scenario, la resilienza non si limita alla prevenzione: le istituzioni devono essere pronte a reagire efficacemente e a garantire la continuità dei servizi anche in caso di incidente. Il concetto di “presunzione-violazione” diventa fondamentale. Non si tratta solo di evitare l’attacco, ma di essere pronti a rispondere rapidamente per ridurre i danni.

L’anello debole della catena: l’ATM 

Tra gli end point più esposti ci sono sicuramente gli ATM (i bancomat). Questo perché gestiscono informazioni “sensibili” come i numeri delle carte e i codici di accesso, sono fisicamente raggiungibili da chiunque e hanno (troppo spesso) sistemi software e hardware obsoleti.
Ecco due casi di studio recenti avvenuti in Europa:

Attacco Jackpotting in Spagna (2023)

Nel 2023, la Spagna è stata vittima di una serie di attacchi di jackpotting, che hanno preso di mira ATM situati in località turistiche, sfruttando la minore vigilanza nei luoghi a maggiore affluenza di pubblico. Gli attaccanti hanno utilizzato una variante aggiornata del malware Cutlet Maker, che ha permesso di prendere il controllo degli sportelli automatici: attraverso l’uso di dispositivi fisici collegati agli sportelli sono stati in grado di inviare comandi agli ATM per erogare grandi somme di denaro senza la necessità di carte o PIN.
Il gruppo criminale responsabile degli attacchi ha operato in modo organizzato, inviando “muli” a raccogliere il denaro in diverse città spagnole. La banca coinvolta ha risposto rapidamente, ma il danno è stato significativo, con perdite che hanno superato il milione di euro.  

Attacco Malware Multivector in Italia (2022) 

Nel 2022, diversi istituti bancari in Italia sono stati colpiti da un attacco malware di tipo multivector, che ha combinato tecniche di jackpotting e phishing per compromettere ATM in tutto il paese. Gli hacker hanno introdotto il malware direttamente negli sportelli attraverso la rete interna delle banche, sfruttando vulnerabilità nel software degli ATM, molti dei quali utilizzavano ancora sistemi operativi obsoleti come Windows XP. 

Il malware, una variante del noto Ploutus-X, ha permesso agli attaccanti di controllare gli ATM a distanza e di sincronizzare l’erogazione del denaro con l’azione di complici che attendevano sul posto per ritirare il contante. L’elemento distintivo di questo attacco è stato l’utilizzo di email di phishing per penetrare nelle reti delle banche e ottenere accesso agli sportelli automatici. 

In risposta a questo attacco, le banche italiane hanno avviato una serie di aggiornamenti software e hanno rafforzato la formazione del personale per prevenire future compromissioni. In generale, sono moltissime le tipologie di attacchi agli ATM: ATM jackpotting con la variante FiXS  o il Transaction Reversal Fraud, e l’ultima minaccia – si chiama EU ATI Malware (acquistabile nel dark web) – promette di poter prelevare fino a 30.000 dollari dal singolo sportello (la notizia arriva dal sito DailyDarkweb che gli attribuisce un success rate del 99%).

Quali sono i punti di debolezza principali degli ATM?

Dalle recenti analisi sono emersi:

  1. Sistemi operativi obsoleti

Molti ATM utilizzano sistemi operativi vecchi e non più supportati, come Windows XP o Windows 7, che non ricevono aggiornamenti di sicurezza. Questi sistemi sono particolarmente vulnerabili a malware e attacchi informatici.

  1. Connessioni di rete non sicure

Gli ATM spesso comunicano con le reti bancarie tramite connessioni non sempre adeguatamente cifrate o protette. Gli hacker possono intercettare queste comunicazioni, inserendo comandi malevoli o manipolando i dati trasmessi, con attacchi di tipo man-in-the-middle o attacchi remoti come il jackpotting.

  1. Accesso fisico diretto

Gli ATM sono dispositivi fisici accessibili al pubblico, il che li rende vulnerabili a manipolazioni hardware. Gli hacker possono installare dispositivi come skimmer(per catturare dati delle carte) o black box (dispositivi che simulano il controllo della banca), accedendo fisicamente all’ATM per collegare strumenti malevoli.

  1. Mancanza di monitoraggio in tempo reale

Molti ATM non dispongono di sistemi di monitoraggio in tempo reale che possano rilevare comportamenti anomali. Questo significa che un attacco può avvenire senza che la banca o le autorità se ne accorgano immediatamente, permettendo agli hacker di agire indisturbati.

  1. Sicurezza fisica insufficiente

Gli sportelli automatici in luoghi isolati o scarsamente sorvegliati sono più facili da compromettere. L’assenza di telecamere, allarmi, o protezioni fisiche aggiuntive (come armadi blindati) rende più semplice la manomissione.

  1. Mancanza di crittografia dei dati

Alcuni ATM non utilizzano adeguatamente la crittografia per proteggere le informazioni trasmesse tra l’ATM e la banca. Questo rende possibile per gli hacker intercettare e manipolare i dati delle transazioni, come i numeri delle carte o i PIN, durante il trasferimento.

  1. Vulnerabilità del software degli ATM

Gli ATM utilizzano software specifici per l’erogazione del denaro e la gestione delle transazioni. Se questo software contiene bug o falle di sicurezza, gli hacker possono sfruttarle per ottenere l’accesso al sistema, manipolare le transazioni, o forzare l’erogazione di denaro tramite attacchi di jackpotting.

  1. Utilizzo di periferiche non protette

Le periferiche degli ATM, come lettori di schede e tastiere, possono essere facilmente manomesse. Ad esempio, i pin pad overlay sono dispositivi sovrapposti alle tastiere reali, che registrano i numeri PIN digitati dai clienti, mentre i card skimmers catturano i dati delle carte magnetiche durante il normale utilizzo.

  1. Fornitori terze parti non controllati

Gli ATM sono spesso gestiti da terze parti, e la gestione della sicurezza lungo la catena di fornitura può essere problematica. Gli hacker possono sfruttare vulnerabilità nei fornitori o nei tecnici responsabili della manutenzione.

  1. Patch di sicurezza non applicate

Le banche e gli operatori ATM non sempre applicano tempestivamente le patch di sicurezza rilasciate dai fornitori del software e dell’hardware. Questo ritardo consente agli hacker di sfruttare vulnerabilità note per attaccare gli ATM prima che vengano risolte.

Questi punti di debolezza rappresentano un’ampia superficie di attacco che, se non adeguatamente protetta, può essere sfruttata per compromettere i sistemi ATM.

AGGER: la risposta di Gyala

AGGER, la soluzione di Gyala di cyber security, offre una gamma di strumenti che vanno oltre la semplice prevenzione degli attacchi, puntando a una gestione proattiva e automatizzata delle minacce. Agger identifica, rileva e gestisce tutte le periferiche; controlla e impedisce l’esecuzione di attacchi al sistema operativo (anche legacy); grazie al Machine Learning, analizza il comportamento del dispositivo per identificare anomalie, come ad esempio un mouse che funge da tastiera.

Punti di forza di Agger:

  1. Automazione avanzata e customizzata di detection e reaction: AGGER permette di configurare regole personalizzate al livello di singolo end point per rispondere alle esigenze operative delle istituzioni finanziarie.
  2. Integrazione completa: Il software può raccogliere e analizzare i log da qualsiasi sistema di cybersecurity esistente, migliorando l’efficacia e la visibilità delle operazioni di sicurezza.
  3. Monitoraggio in tempo reale di IT e OT: AGGER è in grado di monitorare sia le reti IT che OT, una caratteristica fondamentale per le istituzioni che gestiscono infrastrutture critiche.
  4. Resilienza operativa e mitigazione del rischio: Grazie ai suoi strumenti di machine learning, AGGER è capace di rilevare anomalie e minacce in modo tempestivo, riducendo i tempi di risposta e aumentando la resilienza delle istituzioni.
  5. Supporto Legacy: Agger è in grado di supportare qualunque sistema Legacy a livello di OT: ad oggi supportiamo sistemi Windows, Linux e MacOS. Sviluppiamo agent e interfacce di collegamento per esigenze specifiche in sprint di sviluppo per far sì che la rete OT sia protetta.