.:: Securnetwork.net Blog - Massimo Rabbi ::.

L’edizione online del New York Times ha segnalato che alcuni sconosciuti avrebbero ottenuto l’accesso alla rete interna degli ATM Citibank e catturato dati relativi ai PIN dei clienti. Il “punto d’ingresso” dell’attacco a quanto pare è stato individuato in alcuni degli sportelli automatici Citibank installati nella catena di negozi americani di 7-Eleven.
I ladri si dice abbiano ottenuto i PINs mediante un attacco ai terminali remoti che autenticano/validano i PIN inseriti dai bancomat.
Il risultato: un furto per parecchi milioni di dollari. Ad oggi il numero di clienti vittime dell’attacco è sconosciuto.

Il New York Times punta l’attenzione anche sul fatto che la trasmissione attraverso la rete di dati cosi’ sensibili come i PINs non sia adeguatamente protetta, citando l’esperto di sicurezza Avivah Litan della società di consulenza Gartner, che afferma come non sempre i PINs vengono crittati come dovrebbe essere.
Questo episidio ricorda il lavoro dei ricercatori Omer Berkmann e Odelia Moshe Ostrovsky, che hanno pubblicato informazioni circa le possibilità di intercettare i PIN una volta ottenuto accesso alle reti degli ATM.
In generale infatti gli standard di sicurezza imposti su queste reti sono meno “rigidi” di quelli adottati nei terminali remoti e negli sportelli automatici stessi.

APPROFONDIMENTI E LINKS:
- Citibank ATM network hacked, by Heise-Security
- PIN transmission at automated tellers less safe than expected, by Heise-Security
- The Unbearable Lightness of PIN Cracking, paper di Omer Berkman e Odelia Moshe Ostrovsky
- Attacking Bank-Card PINs, dal blog di Bruce Schneier