Secondo report pubblicati dalla stampa negli USA alcuni hacker hanno ottenuto accesso ai distributori automatici di contanti (ATM) operativi per conto di Citibank, tra ottobre e marzo 2008. I criminali sono riusciti a sottrarre almeno 2 milioni di dollari spiando codici PIN prima di essere scoperti. Klaus Gheri, Chief Technology Officer di phion, uno tra i principali fornitori europei di soluzioni per la protezione delle comunicazioni aziendali con numerosi clienti nel settore bancario, invita a riflettere sui rischi associati ai distributori automatici di denaro.

“In generale, le postazioni dei bancomat sono sistemi piuttosto sicuri. Ma non lo sono i cavi attraverso cui i dati vengono trasmessi. Così, per motivi di sicurezza è imperativo che le comunicazioni tra il bancomat e i server centralizzati dei sistemi siano cifrate. Se fosse stato adottato questo semplice metodo non sarebbe stato possibile un attacco di questo tipo. Proprio per questo le banche – esattamente come le aziende con dipendenti mobili – devono avvalersi di una Virtual Private Network (VPN) che semplifica le comunicazioni cifrate e sicure.

Tuttavia, l’installazione di una soluzione software aggiuntiva per la crittografia può violare il Service Level Agreement esistente con i produttori dei bancomat. Così l’unica soluzione che rimane è quella di cifrare il sistema di comunicazione e di fornire protezione contro gli attacchi alla rete utilizzando un firewall/VPN-Box. La sfida che le banche devono affrontare è l’installazione di tali VPN-Box direttamente all’interno della struttura del bancomat. Ma esistono restrizioni in termini di spazio e i distributori disposti all’esterno sono soggetti a enormi fluttuazioni di temperatura con l’alternarsi delle stagioni. Oltre a questo tipo di gestione VPN convenzionale, è fondamentale tenere in considerazione l’alto numero di postazioni ATM – e fornire servizi onsite risulta semplicemente troppo costoso considerando gli oltre 35.000 distributori automatici in Italia. Questo significa che i distributori automatici di contanti localizzati all’esterno e nei foyer rappresentano un rischio di sicurezza noto.

Una delle maggiori banche private in Germania ha preventivamente implementato tale soluzione grazie a phion ed è in tal modo protetta contro attacchi di questa natura.

Tuttavia, sebbene una simile soluzione non sia stata adottata da tutte le banche, i consumatori non devono preoccuparsi per i propri risparmi. Un attacco cyber-criminale di questo tipo richiede un elevato livello di conoscenza e uno sforzo considerevole. Per gli utenti privati la possibilità di essere toccati da un attacco di questo tipo è decisamente inferiore rispetto a quella di subire frodi attraverso la propria carta di credito.”

Le informazioni su questo caso sono state diffuse meramente come parte delle procedure legali avviate contro i tre aggressori e le modalità di tale attacco fraudolento risultano tuttora sconosciute. Tutto quello di cui si è a conoscenza è che gli attacchi sono stati perpetrati da remoto senza avvicinarsi ai distributori. Gli ATM in questione operavano attraverso compagnie esterne per conto di Citibank.