Net zoals in andere sectoren is ook het dreigingslandschap in de bancaire sector voortdurend aan verandering onderhevig. Een nieuw type cyberaanval in deze sector is de zogenaamde ‘jackpotting’-aanval. Bij deze aanval worden pinautomaten, met behulp van speciale malware, volledig leeg getrokken.

In eerste instantie kwam ‘jackpotting’ alleen in Zuid-Amerika voor, maar sinds begin 2018 ook in Europa, Azië en Noord-Amerika. Het meest voorkomend hierbij zijn aanvallen op ‘losstaande’ pinautomaten, zoals we die in Nederland kennen in de supermarkt of drogisterij. Het interessante aan deze aanvallen is dat er relatief veel voorbereiding, en vaak ook samenwerking, voor nodig is om zo’n aanval tot een ‘succesvol’ einde te brengen.

Opzet van de aanval

Stap 1 is het plaatsen van malware op de computer die is aangesloten op de pinautomaat. Dit kan door een insider gedaan worden of er kan, als de fysieke beveiliging van een pinautomaat onvoldoende is, vanaf de buitenkant van het apparaat toegang worden verkregen om de malware te plaatsen. Er zijn ook gevallen bekend waarbij er eerst toegang is verschaft tot andere computers binnen het netwerk van een bank, waarna er uiteindelijk toegang is verkregen tot de computer die de pinautomaten aanstuurt, om daar dan de malware op te installeren.

Het ‘legen’ van de pinautomaat

Is de malware eenmaal geplaatst op de computer, dan zal de pinautomaat normaal blijven functioneren totdat iemand op de pin-toets interface een speciale toetscombinatie invoert. De pinautomaat zal dan beginnen met het in hoog tempo uitspuwen van al het geld. Vaak zal een ‘jackpotting’-aanval zodanig worden gecoördineerd dat er bij meerdere pinautomaten op hetzelfde moment aanvallers aanwezig zijn om ze gelijktijdig te legen. Hierdoor heeft de bank zeer kort de tijd om de aanval te detecteren en eventueel te stoppen.

Maatregelen tegen ‘jackpotting’

Omdat een ‘jackpotting’-aanval zeer gericht is, wordt er altijd gebruikgemaakt van een ‘vers malware-exemplaar’. Dit betekent dat de nieuwste varianten van malware worden ingezet, die dus nog niet worden gedetecteerd door antivirussystemen. Welke maatregelen kunnen er dan wel worden genomen tegen dit soort aanvallen?

Application control

Een eerste preventieve maatregel is application control, ook wel application whitelisting genoemd. Hierbij worden restricties opgelegd aan welke programma’s er opgestart mogen worden op een computer (of ander endpoint device). Hierdoor kunnen malware-infecties worden voorkomen, doordat de applicaties simpelweg niet kunnen worden opgestart. Deze maatregel werkt dus ook als het gaat om ‘nog niet herkende malware’. Dit is echter een methode die in grote omgevingen veel extra beheertaken met zich meebrengt (iedere nieuwe, goedgekeurde, applicatie moet toegevoegd worden aan een whitelist alvorens er gebruik van te kunnen maken).

SOC monitoring

Je begrijpt dat application control niet (langer) de beste veiligheidsoplossing vormt. Daar waar preventie niet volstaat kan geavanceerde detectie worden ingezet. Het aansluiten op een Security Operations Center (SOC), dat continu al het verkeer op een netwerk analyseert, zorgt ervoor dat cyberdreigingen gedetecteerd worden. Door hierbij ook nog eens gebruik te maken van kunstmatige intelligentie en zelflerende systemen is deze vorm van security steeds beter voorbereid op eventuele toekomstige dreigingen en zelfs in staat om actie te ondernemen wanneer sprake is van verdacht verkeer.

Vulnerability management

Vaak wordt er misbruik gemaakt van een bekende kwetsbaarheid in software, om zo malware te kunnen plaatsen op een pinautomaat. Vaak worden er voor deze bekende ‘foutjes’ patches (kleine stukjes software) gemaakt. Dergelijke aanvallen voorkom je dus veelal met goed patch management. Vulnerability management geeft inzicht in de aanwezige kwetsbaarheden en geeft beheerders de informatie die ze nodig hebben om deze beveiligingsproblemen op te lossen. Vulnerability Management is stap één om ‘jackpotting’ te voorkomen.