Dünyadaki hemen her ATM’ye bir zararlı yazılımın yardımıyla veya yardımı olmadan yasadışı erişim sağlanabilir ve para çalınabilir. Kaspersky Lab uzmanları tarafından yapılan araştırmaya göre bunun nedeni, zamanı dolmuş ve güvenli olmayan yazılımların yaygın olarak kullanılması, ağ konfigürasyonlarındaki hatalar ve ATM’nin kritik parçalarının fiziksel güvenliğin eksik olması.

Yıllardır ATM müşterileri ve sahipleri için en büyük tehdit, banka kartlarının manyetik şeritlerinden veri çalmak amacıyla ATM’lere takılan özel cihazlar olan sıyırıcılar olmuştur. Ancak artık kötü niyetli teknikler gelişmiş durumda ve ATM’ler daha fazla tehlikeye karşı karşıya.

2014 yılında Kaspersky Lab araştırmacıları, ATM’ler için ilk yaygın olarak bilinen zararlı yazılım örnekleri olan Tyupkin’i keşfetmişlerdi. 2015 yılında ise şirketin uzmanları, bankanın altyapısını ihlal ederek ATM’lerden para çalma becerisinin yanı sıra başka özelliklere de sahip olan Carbanak çetesini ortaya çıkardılar. Her iki saldırı örneği de ATM teknolojisinde ve bunu destekleyen altyapılardaki çok sayıda zayıf noktanın kötüye kullanılması sayesinde mümkün oldu. Ama bu buzdağının görünen kısmı sadece.

Tüm ATM güvenlik sorunlarını ele almaya yönelik bir girişimde Kaspersky Lab penetrasyon testi uzmanları, gerçek saldırıların araştırmalarını ve birçok uluslararası bankanın ATM güvenliği değerlendirmelerinin sonuçlarını temel alan bir araştırma gerçekleştirdi.

Araştırmanın sonucunda uzmanlar, ATM’lere karşı zararlı yazılım saldırılarının çok sayıda güvenlik sorunu nedeniyle mümkün olabildiğini sergiledi. En önemli sorun, ATM’ler Windows XP gibi çok eski işletim sistemi sürümleri üzerinde çalışan bilgisayarlar olması. Bu durum ATM’leri, bilgisayar virüsleri ve açıklardan yararlanma amaçlı saldırılara karşı zayıf kılıyor. Genellikle ATM’nin bilgisayarının banka altyapısı ve donanım birimleriyle etkileşime girmesini sağlayan, nakit para ve kredi kartı işlemlerini yapan özel yazılım XFS standardını temel alır.

Bu daha çok, orijinal olarak ATM yazılımını standartlaştırmak için oluşturulmuş eski ve güvenliksiz bir teknoloji spesifikasyonu olduğundan, üreticiden bağımsız olarak herhangi bir ekipman üzerinde çalışabilir. Zararlı yazılım bir ATM’ye başarılı bir şekilde bulaşırsa, ATM’nin kontrolü açısından neredeyse sınırsız bir güç elde edebilir, bilgisayar korsanının komutu üzerine ATM’deki tüm parayı verebilir.

Kaspersky Lab araştırmacılarının gözlemlediği birçok durumda suçlular, ATM’ye veya bağlı olduğu bankanın ağına bulaştırmak üzere zararlı yazılım kullanmadı. Bu, ATM’lerde sıklıkla görülen fiziksel güvenlik eksiklikleri nedeniyle mümkün olmakta. Genellikle ATM’ler, üçüncü bir şahsın içindeki bilgisayara veya makineyi İnternete bağlayan ağ kablosuna kolaylıkla erişim sağlayabileceği bir şekilde yapılandırılır ve kurulur.

ATM’ye kısmi bile olsa fiziksel erişim sağlayan suçlular, potansiyel olarak:

Saldırganlara ATM’ye uzaktan erişim olanağı sağlayan özel olarak programlanmış bir mikro bilgisayarı (kara kutu olarak adlandırılan) ATM’nin içine yerleştirebilir;
ATM’yi suçluların işletim merkezine bağlayabilir.
Sahte işletim merkezi, ödeme verilerini işleyen bir yazılımdır ve bankaya ait olmaması gerçeğine karşılık bankanın yazılımının aynısıdır. ATM sahte işletim merkezine bağlandığında, saldırganlar istedikleri komutu verebilir. ATM bu komuta uyacaktır.

ATM’ler ve işletim merkezi arasındaki bağlantı, çeşitli yollarla korunabilir. Örneğin, bir donanım veya yazılım VPN, SSL/TLS şifrelemesi, bir güvenlik duvarı veya MAC kimlik denetimi kullanılabilir veya xDC protokolleri uygulanabilir. Ancak bu önlemler genellikle uygulanmaz. Uygulandığında ise ekseriyetle yanlış ve hatta sadece bir ATM güvenlik değerlendirmesinde keşfedilebilecek zayıf noktalarıyla yapılandırılırlar. Sonuç olarak suçlular donanımı değiştirmek zorunda değiller. ATM ve banka altyapısı arasındaki ağ iletişimindeki zayıf noktalardan faydalanırlar.

Peki ATM hırsızlığı nasıl durdurulur?

Kaspersky Lab Penetrasyon Testi departmanı güvenlik uzmanı Olga Kochetova şunları söylemiştir: “Araştırmamızın sonuçları, her ne kadar satıcılar artık ATM’leri güçlü güvenlik özellikleriyle geliştirmeyi deniyor olsalar da birçok bankanın halen eski güvenliksiz modelleri kullandığını ve bu durumun bankaları, cihazların güvenliğini aktif bir şekilde ihlal eden suçlular için aciz bıraktığını göstermektedir. Bu bugünün, bankalar ve müşterilerini finansal kayıplara uğratan gerçeğidir. Bizim bakış açımızdan bu, siber suçluların sadece İnternet bankacılığıyla ilgilendiğini düşündüğümüz uzun süreli bir yanlış inanışın eseridir. Bu saldırılarla ilgilenmenin yanında, ATM’lerin zayıflıklarından faydalanmakta her geçen gün daha fazla çıkar görmektedirler çünkü bu gibi cihazlara yönelik doğrudan saldırılar gerçek paraya giden yollarını büyük ölçüde kısaltmaktadır”.

Her ne kadar yukarıda söz edilen güvenlik sorunları büyük ihtimale dünyanın her yerinde birçok ATM’yi etkileyecek olsa da bu, sorunun çözülemez olduğu anlamını taşımaz. ATM üreticileri aşağıdaki önlemleri alarak nakit para makinelerine saldırı riskini azaltabilirler:

-Öncelikle XFS standardını güvenliği vurgulayarak yenilemek ve cihaz ve yasal yazılım arasında iki faktörlü bir kimlik denetimi uygulamak gereklidir. Bu, trojanlar kullanarak izinsiz para çeken saldırganların ATM üniteleri üzerinde doğrudan kontrol elde etme olanağını azaltacaktır.
-İkinci olarak, sahte işletim merkezleri üzerinden saldırı olasılığını ortadan kaldırmak için “denetlenmiş dağıtma” uygulanmalıdır.
-Üçüncü olarak ise, tüm donanım birimleri ve ATM’lerin içindeki bilgisayarlar arasında iletilen veriler üzerinde şifre koruması ve bütünlük denetimi uygulanmalıdır.