C’è l’omicidio perfetto, il furto perfetto e da oggi anche la truffa bancomat perfetta. Un gruppo di cybercriminali russi ha infatti trovato il modo di penetrare nel sistema di una banca, installare un malware e poi scomparire senza lasciare tracce e senza rubare denaro. Ma solo per il momento: il malware, infatti, è solo in stato dormiente, in attesa di essere attivato a distanza da un comando specifico. E per la banca e i suoi clienti a quel punto è troppo tardi.

La truffa è stata svelata dal team di esperti di Kaspersky Lab, che durante un’indagine relativa a un incidente ha scoperto una versione migliorata del malware Skimer su uno dei bancomat dell’istituto. Il piano dei cybecriminali russi è semplice ma geniale: il gruppo accede al sistema del bancomat, installa Backdoor.Win32.Skimer e infetta il file .exe responsabile delle interazioni della macchina con l’infrastruttura bancaria, del trattamento del contante e delle carte di credito. In pratica, invece di installare un semplice dispositivo skimmer – un lettore di schede fraudolento – trasformano l’intero bancomato in uno skimmer, dal quale i criminali possono prelevare tutti i soldi che vogliono o rubare i dati delle carte dei clienti.

Il lato peggiore della faccenda è che non c’è modo, per un cliente anche esperto, di riconoscere un bancomat infetto. Inoltre, i cybercriminali agiscono con grande prudenza: il malware potrebbe restare inattivo anche per molti mesi, prima di intraprendere qualche azione. Nella maggior parte dei casi, scelgono di aspettare e raccogliere i dati delle carte hackerate, per poi clonarle e quindi ritirare denaro presso altri bancomat non infetti.

Skimer è stato diffuso tra il 2010 e il 2013, tuttavia sembra che ora sia tornato in azione e la versione più recente di Backdoor.Win32.Skimer è stata identificata in questo mese di maggio. Kaspersky Lab raccomanda di effettuare regolari scansioni antivirus, oltre ad usare le tecnologie di whitelisting, una buona policy di gestione dei dispositivi e la criptazione completa del disco, proteggere il BIOS del bancomat tramite password, permettere solo l’avvio dell’hard disk e isolare la rete del bancomat da qualsiasi altra rete interna della banca. Il rapporto di Kaspersky Lab è stato già condiviso con le forze dell’ordine e istituzioni finanziarie.