Οι ειδικοί της Kaspersky Lab διερεύνησαν το πώς οι ψηφιακοί εγκληματίες μπορούν να εκμεταλλευτούν τις νέες τεχνολογίες ταυτοποίησης των ΑΤΜ που σχεδιάζουν οι τράπεζες. Ενώ πολλοί οικονομικοί οργανισμοί θεωρούν τις λύσεις με βάση τα βιομετρικά στοιχεία ως τις πιο πολλά υποσχόμενες προσθήκες στις υπάρχουσες μεθόδους ταυτοποίησης, ή ακόμα και μία επιλογή για την αντικατάσταση των τελευταίων, οι ψηφιακοί εγκληματίες βλέπουν τη χρήση βιομετρικών στοιχείων ως μία νέα ευκαιρία για την κλοπή ευαίσθητων πληροφοριών.
Τα ΑΤΜ είναι εδώ και χρόνια στο στόχαστρο των απατεώνων που κυνηγούν τα δεδομένα πιστωτικών καρτών. Όλα ξεκίνησαν με τα πρωτόγονα “skimmers” – ιδιοκατασκευές που τοποθετούνταν σε ένα ΑΤΜ, οι οποίες είχαν τη δυνατότητα να υποκλέπτουν πληροφορίες από τη μαγνητική ταινία της κάρτας, καθώς και τον αντίστοιχο κωδικό ΡΙΝ με τη βοήθεια ενός ψεύτικου πληκτρολογίου ΑΤΜ ή μίας webcam. Με τον καιρό, ο σχεδιασμός αυτών των συσκευών βελτιώθηκε ώστε να τις κάνει λιγότερο ορατές. Με την εισαγωγή της τεχνολογίας “chip-and-pin” στις κάρτες πληρωμών, η οποία καθιστούσε την «κλωνοποίησή» τους πολύ δύσκολη αλλά όχι ακατόρθωτη, οι σχετικές συσκευές εξελίχθηκαν από “skimmers” σε “shimmers”: σε μεγάλο βαθμό ίδιες, αλλά με τη δυνατότητα να συλλέγουν πληροφορίες από το μικροτσίπ της κάρτας, παρέχοντας επαρκείς πληροφορίες για την πραγματοποίηση μίας διαδικτυακής επίθεσης. Ο τραπεζικός τομέας ανταπαντά με νέες λύσεις ταυτοποίησης, μερικές από τις οποίες βασίζονται στα βιομετρικά στοιχεία.
Σύμφωνα με έρευνα της Kaspersky Lab για το «υπόγειο» ψηφιακό έγκλημα, υπάρχουν ήδη τουλάχιστον δώδεκα προμηθευτές οι οποίοι παρέχουν skimmers που έχουν τη δυνατότητα να υποκλέψουν τα δακτυλικά αποτυπώματα των θυμάτων, όπως επίσης τουλάχιστον τρεις προμηθευτές οι οποίοι ήδη αναπτύσσουν συσκευές που θα μπορούσαν παράνομα να αποκομίσουν δεδομένα από συστήματα αναγνώρισης παλάμης ή ίριδας.
Το πρώτο «κύμα» βιομετρικών skimmers μελετήθηκε κατά τη διάρκεια «δοκιμών» το Σεπτέμβριο του 2015. Τα στοιχεία που συνέλεξαν οι ερευνητές της Kaspersky Lab αποκαλύπτουν ότι κατά τη διάρκεια των αρχικών δοκιμών, οι developers ανακάλυψαν διάφορα bugs. Ωστόσο, το κύριο πρόβλημα ήταν η χρήση στοιχείων GSM για τη μεταφορά βιομετρικών δεδομένων – ήταν πολύ αργά στη μεταφορά του μεγάλου όγκου των δεδομένων που αποκομίζονταν. Ως αποτέλεσμα, οι νέες εκδοχές των skimmers θα κάνουν χρήση άλλων, πιο γρήγορων τεχνολογιών στη μεταφορά δεδομένων.
Υπάρχουν επίσης ενδείξεις συνεχιζόμενων συζητήσεων ανάμεσα σε «υπόγειες» κοινότητες σχετικά με την ανάπτυξη εφαρμογών για φορητές συσκευές που βασίζονται στην τοποθέτηση μασκών πάνω από το ανθρώπινο πρόσωπο. Με μια τέτοια εφαρμογή, οι επιτιθέμενοι μπορούν να πάρουν τη φωτογραφία ενός ατόμου που έχει δημοσιευτεί στα μέσα κοινωνικής δικτύωσης και να τη χρησιμοποιήσουν για να ξεγελάσουν το σύστημα αναγνώρισης προσώπου.
«Το πρόβλημα με τη χρήση βιομετρικών στοιχείων είναι ότι, σε αντίθεση με τους κωδικούς πρόσβασης ή τους κωδικούς PIN που μπορούν εύκολα να τροποποιηθούν σε περίπτωση παραβίασης, είναι αδύνατο να αλλάξουν τα δακτυλικά σας αποτυπώματα ή την εικόνα της ίριδάς σας. Έτσι, έστω και μία φορά να τεθούν τα δεδομένα σας σε κίνδυνο, δεν θα είναι ασφαλές να χρησιμοποιήσετε αυτή τη μέθοδο ελέγχου ταυτότητας ξανά. Για το λόγο αυτό, είναι εξαιρετικά σημαντικό να κρατήσετε τα δεδομένα σας ασφαλή και να τα διαβιβάζετε με ασφαλή τρόπο. Τα βιομετρικά δεδομένα καταγράφονται επίσης στα σύγχρονα διαβατήρια – που ονομάζονται e-passports – στη visa κλπ. Έτσι, αν ένας εισβολέας κλέψει ένα e-passport, δεν κατέχει μόνο το έγγραφο, αλλά και τα βιομετρικά δεδομένα του ατόμου. Ουσιαστικά έχει κλαπεί η ίδια του η ταυτότητα», δήλωσε η Olga Kochetova, ειδικός σε θέματα ασφάλειας της Kaspersky Lab.
Η χρήση εργαλείων που είναι ικανά να θέσουν σε κίνδυνο βιομετρικά δεδομένα δεν είναι η μόνη δυνητική ψηφιακή απειλή που αντιμετωπίζουν τα ΑΤΜ, σύμφωνα με τους ερευνητές της Kaspersky Lab. Οι χάκερς θα συνεχίσουν να διεξάγουν επιθέσεις που βασίζονται σε κακόβουλα λογισμικά, επιθέσεις blackbox και επιθέσεις δικτύου για να αξιοποιήσουν τα δεδομένα που μπορούν να χρησιμοποιηθούν αργότερα για να κλέψουν χρήματα από τις τράπεζες και τους πελάτες τους.
Για την πλήρη έκθεση με τις επερχόμενες ψηφιακές απειλές για τις αυτόματες ταμειακές μηχανές και τα μέτρα που μπορούν να προστατεύσουν τις τράπεζες από τις απειλές αυτές μπορείτε να επισκεφτείτε τον ειδικό ιστότοπο Securelist.com.