Kaspersky Lab provedla analýzu malwaru útočícího na bankomaty. Jeden z nich, Skimer, okrádal uživatele bankomatů v desítce různých zemí po celém světě. Zdá se, že mezi nimi byla i Česká republika.
Skimer je původně první program cílící na bankomaty, který byl objevený v roce 2009. Nyní, tedy o sedm let později ho začali kybernetičtí zločinci opět používat. Tentokrát jsou ale program i útočníci na vyšší úrovni a pro banky a jejich zákazníky po celém světě představují mnohem větší hrozbu.
Během zkoumání odezvy na problém objevili experti společnosti Kaspersky Lab v bankomatech stopy vylepšené verze malwaru Skimer. Zločinci ho nejdříve do přístrojů nahráli, ale aktivovali ho mnohem později. Chytře tak zahladili stopy.
Útok skupiny Skimer začíná získáním přístupu k systému v bankomatu, a to jak fyzického, tak i pomocí interní sítě. Útočníci nainstalují Backdoor.Win32.Skimer do systému, který napadne jádro bankomatu. To je zodpovědné za interakci mezi zařízením a bankovní infrastrukturou, zpracováním hotovosti a kreditními kartami. Kybernetičtí zločinci tak nad nakaženým bankomatem získávají plnou kontrolu. Přesto jsou velice opatrní a jejich jednání je založeno na kvalitních znalostech. Místo umisťování takzvaných „skimmerů“ (podvodných čteček karet), které dokáží získat údaje ke kreditní kartě, vytvoří „skimmer“ rovnou z bankomatu. Pokud se jim podaří zařízení úspěšně infikovat malwarem, můžou z něj vybrat veškeré finanční prostředky nebo získat data z karet, které v něm byly použity, včetně čísel bankovních účtů zákazníků a PIN kódů. Pro obyčejné lidi je nemožné napadené zařízení rozpoznat. Nevykazuje totiž žádné fyzické známky jako například při použití klasického „skimmeru“, kdy zkušenější uživatel pozná, že byla originální čtečka u zařízení nahrazena tou podvodnou. U přímých výběrů peněz, bývá podvod odhalen hned po jejich zinkasování. Z tohoto důvodu kyberzločinci nejednají okamžitě. Malware uvnitř bankomatu dokáže bezpečně sbírat data až několik měsíců, aniž by projevil nějakou aktivitu.
V případě, že kriminálníci chtějí malware aktivovat, vloží do bankomatu kartu se specifickými záznamy na magnetickém proužku. Po jejich přečtení může Skimer vykonat zakódovaný příkaz nebo vyžádat příkazy pomocí speciálního menu, které se aktivuje pomocí karty. Grafické rozhraní skupiny Skimer se na displeji zobrazí až po vyjetí karty a zadání dočasného kódu do speciálního formuláře během 60 vteřin. S pomocí nabídky mohou zločinci aktivovat 21 rozdílných příkazů, jako například vydat peníze (40 bankovek ze specifické kazety), shromáždění údajů o vložených kartách, samovymazání, aktualizace (z aktualizovaného kódu malwaru vloženého na čipu karty), apod. Skimer je také schopný uložit na čip karty soubor s výpisy a PIN kódy nebo vytisknout detaily karet na papírový výpis bankomatu.
Ve většině případů kybernetičtí zločinci čekají a sbírají data z karet, aby později mohli vytvořit jejich kopie. S těmi pak vyzvednout peníze z nenapadených bankomatů běžným způsobem. Takto se zločinci ujistí, že hacknutý bankomat nebude odhalen příliš brzo.
Skimer se mezi roky 2010 a 2013 šířil ve velkém. Jeho výskyt způsobil dramatický nárůst napadených bankomatů. Společnost Kaspersky Lab zaznamenala až 9 různých skupin tohoto malwaru. Mezi ně patřila i rodina Tyupkin objevená v březnu 2014. Ta se brzy stala velmi populární a rychle se rozšířila. Nyní se zdá, že Backdoor.Win32.Skimer je opět v akci. Analytici Kaspersky Lab odhalili 49 modifikací tohoto malwaru, z nichž 37 útočí na bankomaty jednoho z hlavních výrobců. Poslední verze byla objevena na začátku května 2016.
S pomocí vzorků odeslaných do nástroje VirusTotal lze vidět široké geografické rozložení potenciálně napadených bankomatů. Posledních 20 záznamů skupiny Skimer bylo nahráno z více než deseti různých míst po celém světě, včetně České republiky.
Kaspersky Lab doporučuje zařízení proti této hrozbě chránit prováděním pravidelného antivirového skenování, whitelistingu, nastavením pravidel pro správu zařízení, plným šifrováním disku, ochranou BIOS systémů bankomatů pomocí hesel, povolením výhradně jen HDD bootování a izolací sítě bankomatů od zbytku interní bankovní sítě.