Sårbare pengeautomater

Spilleautomater indeholder flere beskyttelsesløsninger, men der er også svage punkter.

Ifølge pressemeddelelser i USA lykkedes det hackere mellem oktober 2007 og marts 2008 at få adgang til pengeautomater i Citibank. Tyvene plyndrede mindst to millioner amerikanske dollars ved at spionere på pinkoder, før de fangede dem. Dr. Klaus Gheri, medstifter af Phions strategiske produktstyring, kommenterer farerne forbundet med spilleautomater.

”ATM i sig selv er et godt sikret system i fysisk forstand. Det gør netledningen, der kommer ud af maskinen, dog ikke. Af sikkerhedsmæssige årsager er det derfor vigtigt, at kommunikationen mellem pengeautomaten og det centrale serversystem er krypteret. Angrebet på tiltrædelse ville sandsynligvis ikke have været vellykket, hvis denne enkle metode var blevet brugt. Til dette formål er banker, ligesom virksomheder med mobilpersonale, nødt til at oprette et virtuelt privat netværk (VPN), der understøtter både krypteret og sikker kommunikation. ”

Imidlertid kan installation af en ekstra softwareløsning til kryptering krænke serviceniveauaftaler, der allerede er indgået med pengeautomatproducenter. Således er den eneste mulige foranstaltning at kryptere kommunikation i systemet og give beskyttelse mod angreb fra netværket via firewall / VPN -enheder, mener Phion. Udfordringen for banker er at installere VPN -bokse direkte i pengeautomater. Her er der dog pladsbegrænsninger, og maskiner placeret udendørs er udsat for store temperatursvingninger afhængigt af sæsonen. Derudover kan traditionelle VPN-styringsløsninger ikke klare et stort antal websteder, og service på stedet kan være for dyr.

”Angreb på pengeautomater kræver alvorlig ekspertise og enorm indsats. Privatkunder er meget mindre tilbøjelige til at blive angrebet på denne måde end en kreditkortsvindler. ” Phions specialist tilføjet.

Sagen om Citibank er hidtil kun blevet offentliggjort som led i retssager mod angriberne, og deres svindelmetoder er endnu ikke kendt. Alt du ved er, at deres angreb blev udført eksternt uden at komme tæt på pengeautomaterne. De pågældende pengeautomater blev drevet af eksterne virksomheder på vegne af Citibank.