Vorige maand kregen Amerikaanse banken een waarschuwing van de FBI dat cyber-criminelen op het punt stonden een wereldwijde aanval uit te voeren op pinautomaten. Security-journalist Brian Krebs kwam hierachter. De oorzaak lag er volgens de FBI in dat banken al geruime tijd het slachtoffer konden zijn geweest (!) van malware-aanvallen, waarbij op grote schaal bedragen konden worden weggeschreven vanuit de pinautomaten.
Aanvallen op geldmachines zijn niets nieuws, al in 2010 werd op het podium van Black Hat getoond hoe het kon. Alleen was daar wel fysieke toegang tot de automaat voor nodig. Het infiltreren van een banksysteem om vervolgens bankkaarten te stelen en na te maken, fraudepreventie en opnamelimieten uit te schakelen en dan een grootschalige operatie op te zetten om het daadwerkelijk uit de machines te trekken is wel van een andere orde.
In 2008 zagen we echter al een vergelijkbare aanval op RBS Worldpay, met een schadepost van negen miljoen dollar die uit 2100 machines werd gehaald in minder dan twaalf uur. In 2016 verdween 81 miljoen dollar van de Bangladesh Bank door een fout in de beveiliging van de it-infrastructuur rond de afscherming van privileged accounts. In beide gevallen kwam men initieel binnen door een simpele truc als phishing waarmee ze toegang kregen tot een apparaat van een medewerker. Stap voor stap kropen ze hogerop in de organisatie totdat ze voldoende rechten hadden om van alles aan te passen, uit te zetten en de uiteindelijke aanval rustig en secuur voor te bereiden.
Eenmaal binnen is het zaak de weg van de minste weerstand te kiezen. Ze kunnen met geld schuiven zonder gezien te worden, omdat ze letterlijk onderdeel zijn geworden van de organisatiesystemen. De FBI waarschuwt dus voor een nieuwe aanval. Het is nog stil gebleven, maar het advies luidt: zorg voor sterke wachtwoorden en dubbele authenticatie met een fysiek middel voor beheerders. Met andere woorden, scherm die accounts met privileges zoveel mogelijk af. Daarnaast zijn er sowieso drie stappen te zetten:
Patchen – of het nu gaat om pinautomaten, financiële systemen, it-infrastructuur of laptops, aanvallers zijn altijd op zoek naar openstaande deuren. Menselijke fouten zijn niet altijd te voorkomen, de achterdeur open laten staan maar wel een dranger er op te zetten.
Beveilig privileged access – de pinaanvallers zoeken naar end-points met lokale beheerrechten. Door deze te verwijderen voorkom je al grotendeels dat ze makkelijk over kunnen stappen naar het netwerk om daar malware te installeren. Bovendien moeten gegevens van domeinbeheer, privileged SSH keys en andere inloggegevens tot gevoelige systemen uiteraard worden opgeborgen en actief beheerd. Door dit te centraliseren, rolgebaseerde toegang te implementeren en multi-factor authenticatie op te leggen kunnen aanvallers zich niet door het netwerk heen verplaatsen en aanvallen opbouwen.
Continue monitoring – Vrijwel alle (bank)aanvallen beginnen met een aanval op het netwerk. Door netwerken gedetailleerd te monitoren en te kijken naar patronen zijn organisaties beter in staat of een aanvaller succesvol stappen zet richting zijn doel, zoals een pinautomaat. Zodra dit het geval is, moeten organisaties in staat zijn snel adequate maatregelen te nemen.
Er komt nog steeds geld uit de muur, dus grootschalige problemen blijven voorlopig uit, maar criminelen nemen de tijd en blijven innoveren. Door de weg naar succes zoveel mogelijk te blokkeren en privileged accounts af te schermen voorkomen we dat de flappentapper op hol slaat.
