Ataques por parte de HIDDEN COBRA

For the English version of this blog post, please click here.

Con fecha del día 2 de Octubre de 2018 el US-CERT, junto con el departamento de seguridad de los estados unidos (DHS) y el FBI, emitieron un comunicado donde ponían en alerta a los bancos sobre un ataque tipo cash-out denominado “FASTCash”.

El aviso resalta que el gobierno de los Estados Unidos de América se refiere a los ataques provenientes de Corea del Norte como HIDDEN COBRA y el FBI confirma que dichos ataques utilizan diversos métodos para “apropiarse” del efectivo de los cajeros. En el comunicado también se sugieren algunas medidas a manera de repuesta.

Este tipo de ataque, “FASTCash”, no es muy diferente a otros ataques que ya hemos presentado en otros blogs en el pasado. Sin embargo este tipo de ataques continúan ocurriendo sin importar lo altas que puedan ser las medidas de seguridad o bien, sin importar lo apegado que los ambientes puedan estar a certificaciones PCI-DSS. La razón se debe a que dichos ataques son altamente sofisticados, coordinados y emplean diversos puntos de ataque. No existen medidas ni remedios “mágicos” contra este tipo de ataques, pero si se implementan diferentes capas de seguridad se puede llegar a mitigar dichos ataques.

Debido al hecho que HIDDEN COBRA ataca puntos muy específicos de la petición (request) y respuesta (response) del mensaje ISO8583, es por esto que las transacciones fraudulentas “brincan” el radar de los sistemas tradicionales de monitoreo. Adicionalmente estos ataques son perpetrados fuera del país de origen, por lo tanto los controles locales son fácilmente burlados.

En nuestras recientes pláticas con representantes de diferentes instituciones bancarias, así como en nuestros últimos webinars, nos han preguntado constantemente ¿Cómo se puede proteger a los ambientes de pago? Con esto en mente hemos preparado una serie de preguntas y respuestas para ayudarle a prevenir este tipo de ataques.

1. Si se emplea la metodología MAC (Message Authentication Code), ¿Es suficiente para prevenir estos ataques?
   • El “MAC’ing” permite agregar una capa adicional de seguridad ya que proporciona integridad a los mensajes que se intercambian entre el emisor (ATM) y el receptor (switch transaccional / host autorizador). En el caso de los ataques “cash-out”; que por cierto se tratan de una variación de los ataques conocidos como “man-in-the-middle”, las transacciones se ven afectadas ya que las transacciones jamás llegan a su destino final y por lo tanto una verificación mediante MAC’ing ofrece poca protección.

2. Si se emplea el Transaction Signing, ¿Es suficiente para prevenir estos ataques?
   • De forma muy similar al MAC’ing y debido al hecho que tanto el switch y el malware se encuentran “alineados”, nuevamente la transacción jamás llega al punto real y final de autorización, lo que provoca que no importando la naturaleza de la petición, toda petición ISO8583 será resuelta positivamente para el switch transaccional, dejando a este método de autenticación sin ningún sentido.

3. Si el banco ha implementado en su totalidad operaciones con chip (EMV chip), ¿Será eso suficiente para prevenir estos ataques?
   • Muchos bancos que han sido blanco de ataques ya contaban con esta tecnología y muchos de ellos desde hace varios años. Esta tecnología no puede frenar los ataques, ya que los atacantes utilizan terminales alrededor del mundo. Las mayoría de las transacciones fraudulentas son interceptadas por un switch transaccional vulnerado (malware) y nuevamente dichas transacciones jamás llegan a su destino final, de tal forma que la verificación del PIN no se lleva a cabo nunca.

4. ¿De qué forma INETCO Insight me ayuda a detener estos ataques?
   • INETCO Insight tiene la capacidad de decodificar los mensajes ISO8583 así como NDC+ e ISO 20022, adicionalmente tiene la capacidad de correlacionar los diferentes mensajes que se intercambian a lo largo del camino que recorre la transacción. De tal forma que si algún campo es alterado antes de obtener la autorización real, se producirá una alerta que nos permitirá conocer dicha alteración.

5. ¿Existen puntos de falla que puedan comprometer o incluso afectar el flujo transaccional?
   • INETCO Insight colecta la información directamente de un puerto espejo (span port) o de un dispositivo físico como un Tap e incluso mediante agentes. Debido a que utilizamos una copia en tiempo real del tráfico transaccional, no se afecta en ningún sentido el flujo regular de las transacciones.

6. Si ya cuento con una herramienta para la prevención de fraudes, ¿la puedo integrar a INETCO Insight?
   • Si, ya que INETCO Insight captura el tráfico de forma clara en términos de TCP/IP. Posteriormente dicha información ya enriquecida se puede direccionar a otras herramientas, si así se desea.

7. En que forma se diferencía INETCO Insight de otras herramientas para la prevención de fraudes
   • Es un hecho que INETCO Insight puede realizar muchas de las funciones de las soluciones líderes para la prevención de fraudes actuales en la industria, pero el diferenciador real de INETCO Insight es su capacidad para capturar información transaccional en tiempo real, a lo largo de todo el trayecto y sin importar el número de “saltos”. En dicho trayecto pueden existir diferentes protocolos, tales como: NDC+, ISO 8583 o bien XML, MQ y SQL, solo por mencionar algunos. Al decodificar y correlacionar los diferentes tipos de mensajes a lo largo del trayecto es como INETCO Insight es capaz de presentar en una sola vista el flujo transaccional completo. Es gracias a esta vista general que podemos auditar y comprender cuando una parte hace falta.

8. ¿Por qué un banco consideraría implementar INETCO Insight si ya cuenta con otra solución?
   • Algunos bancos han decidido utilizar INETCO Insight para mejorar su postura de seguridad y mitigar los ataques tipo “APT”, como se ha mencionado a lo largo de este blog. De esta forma INETCO Insight proporciona una capa adicional de seguridad, la cual funciona como un sistema de alerta temprana. Adicionalmente se recomienda colocar otros sistemas de seguridad y probarlos de forma regular.

9. Nuestro sistema de protección para ATM es en línea, INETCO provee alguna otra opción para esquemas offline
   • Si, INETCO puede detectar comportamientos anómalos en toda la flota de ATM. Un comportamiento anómalo es justamente la falta de transacciones, lo cual indicaría una desconexión por parte de un ATM o grupo de ATMs. En dicho escenario INETCO puede alertar sobre dicho comportamiento.

10. Solo para confirmar, INETCO no solo tiene la capacidad de alertar, sino que también puede notificar cuando se detectan ciertos patrones / tendencias
    • Correcto, INETCO Insight puede proveer alertas por correo electrónico que pueden usarse para detener una transacción. Dichas alertas pueden configurarse en el motor de alertas de INETCO Insight.

Si le interesa conocer la forma en que INETCO puede ayudarle en su ambiente, envíenos un correo a la siguiente dirección y con gusto le podemos enviar más información al respecto.