Europeiske banker varslet: Stamme for økning i kontantmaskervridning

Banker vil sannsynligvis se svindel på kontanter, uten at det blir gjort noen skritt for å forbedre sin cash-machine-infrastruktur, Det europeiske nettverket og informasjonssikkerhetsbyrået (ENISA) har advart.

ENISA sa bankene er for tiden på et "delikat overgangstrinn", hvor man ser på at risikoen for automatiserte tellermaskiner (minibanker) betyr å miste grunnen i en kritisk kamp som er viktig for alle nasjoners økonomiske system.

Generelt sett er en gang minibanker installert, de er dårlig Administrert og sjelden oppdatert, ifølge rapporten "ATM Crime", utgitt mandag.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

De europeiske bankene i 22 land mistet en kollektiv 485 millioner euro [m] på grunn av ATM-svindel i 2008, ifølge til tall som ble utgitt tidligere i år fra det europeiske ATM Security Team (EAST), en ideell gruppe bestående av finansinstitusjoner og rettshåndhevelse.

Totalt ble det rapportert 12.278 angrep på minibanker, noe som utgjorde en økning på 149 prosent i 2007, EAST sa. Det vanligste angrepet var "skimming", eller vedlegg av utstyr til en minibank som registrerer et korts magnetiske stripe og deretter bruker surreptiøse midler for å fange en persons PIN-kode (Personal Identification Number). Deretter kan et tomt ATM-kort programmeres med disse detaljene og brukes til falske transaksjoner.

Nær 400 millioner euro (695 USD) av svindelen skjedde utenfor landet da kortet ble utstedt. Det er fordi rundt 90 prosent av de europeiske bankene nå bruker chip-og-PIN-kort, også kjent som EMV-kort, hvor minibanken, så vel som de fleste salgssteder, ser etter om kortet har en spesiell mikrobrikke.

Men mange maskiner i land i land som ikke bruker chip-og-PIN-kode, kontrollerer ikke chipet og stole utelukkende på magnetstrimmelen og PIN-koden for å godkjenne transaksjonen.

Mens bankene har tatt tiltak for å lage deres minibanker er mer motstandsdyktige mot å skumme og utdanne forbrukerne om hvordan man merker manipulerte maskiner. Det finnes mange andre svakheter i minibank-systemer, sier ENISA. "ATM bruker ofte ofte offentlig tilgjengelige operativsystemer og maskinvare uten hylle, og som et resultat er utsatt for å være smittet med virus og annen skadelig programvare, sier ENISA.

Mange maskiner kjører på Microsofts Windows-operativsystem. Patches må testes og lisensieres av produsenten av minibanken, noe som gjør et ekstra hinder for å holde maskinene oppdatert. Det øker sjansen for at minibanker - som ofte har ukrypterte koblinger med bankens back-end-systemer - er mer utsatt for ormer og malware. For eksempel ble noen Diebold-minibanker smittet med Slammer-ormen i 2003, sa ENISA.

Tidligere på året ble det funnet noe sofistikert skadelig programvare på minibanker i Øst-Europa. Den registrerte magnetstrimmelinformasjonen på baksiden av et kort, samt PIN-koden (Personal Identification Number). De samlede kortdataene, som deretter ble kryptert, kunne skrives ut av minibankens kvitteringsskriver. Den utskriften kan oppnås via et skjult programvarekontrolpanel som vises etter at tyven har satt inn et spesielt kort i maskinen.

Det har ikke blitt avslørt hvordan malware ble installert på minibankene i Øst-Europa. Men ENISA advarte om at minibanker plassert i ubeskyttede områder med tilgjengelige strømforbindelser og nettverkskoblinger, gjør det lettere for en angriper.

"Sikkerhetsproblemer knyttet til minibankene blir for ofte ikke anerkjent," sa rapporten. Svært få banker, om noen, har gjennomført en formell og fullstendig sikkerhetsrisikovurdering av deres minibanker, ifølge rapporten. "Bruken av begrepet" sikkerhet gjennom uklarhet "som lenge har gått sammen med dedikerte enheter, er konseptuelt feil, og viser seg å være slik den globale trenden med bankesvindel stiger."