Europeiska banker varnade: Stöd för ränta i kontantmaskinsbedrägeri

Bankerna kommer sannolikt att se att motorns bedrägeri stiger, om inte åtgärder vidtas för att förbättra sin kassamaskininfrastruktur, har den europeiska nätverket och informationssäkerhetsbyrån (ENISA) varnat.

ENISA sade bankerna är för närvarande på ett "delikat övergångsstadium", där man tittar på riskerna för automatiserade teleautomater (ATM) innebär att man förlorar marken i en kritisk kamp som är viktig för varje nations ekonomiska system.

Generellt sett när de är installerade är de dåligt

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Europeiska banker i 22 länder förlorade en kollektiv 485 miljoner euro [m] på grund av ATM bedrägeri 2008, enligt till siffror som släpptes tidigare i år från European ATM Security Team (EAST), en ideell grupp bestående av finansiella institutioner och brottsbekämpning.

Totalt rapporterades 12.278 attacker på bankomater, vilket var en ökning med 149 procent under 2007, EAST sa. Den vanligaste attacken var "skimming" eller vidhäftning av utrustning till en bankomater som registrerar ett korts magnetband och sedan använder surreptiösa medel för att fånga personens PIN-kod (personligt identifieringsnummer). Då kan ett tomt ATM-kort programmeras med dessa uppgifter och användas för bedrägliga transaktioner.

Närmare 400 miljoner euro (695 USD) av bedrägeriet inträffade utanför landet var kortet utfärdades. Det beror på att cirka 90 procent av de europeiska bankerna nu använder chip-and-pin-kort, även kända som EMV-kort, där ATM, liksom de flesta enheter som säljs, kontrollerar om kortet har en speciell mikrochip.

Men många maskiner i länder i länder som inte använder chip-and-PIN kommer inte att kontrollera chipet och förlita sig endast på magnetbandet och PIN-koden för att godkänna transaktionen.

Medan bankerna har vidtagit åtgärder för att göra deras bankomater är mer motståndskraftiga mot att skumma och utbilda konsumenterna om hur man märker manipulerade maskiner. Det finns många andra svagheter i ATM-system, säger ENISA. "ATM använder ofta ofta offentligt tillgängliga operativsystem och hårdvara, och som ett resultat är mottagliga för att vara smittade med virus och annan skadlig programvara, säger ENISA.

Många maskiner körs på Microsofts Windows-operativsystem. Plåster måste testas och licenseras av tillverkaren av ATM, vilket gör ett ytterligare hinder för att maskinerna ska uppdateras. Det ökar chansen att bankomater - som ofta har okrypterade länkar med banks back-end-system - är mer sårbara mot maskar och skadlig kod. Exempelvis blev vissa Diebold-bankautomater smittade med Slammer-masken 2003, säger ENISA.

Tidigare på året upptäcktes en del sofistikerad skadlig kod på bankomater i Östeuropa. Den registrerade magnetbandinformationen på baksidan av ett kort samt PIN-koden (Personligt identifieringsnummer). Den samlade kortdata som då krypterades kunde skrivas ut av ATM: s kvittotryckare. Den utskriften kunde erhållas via en dold mjukvarukontrollpanel som visas efter att tjuven sätter in ett specialkort i maskinen.

Det har inte visat sig hur skadlig programvara installerades på bankomaterna i Östeuropa. Men ENISA varnade för att bankomater placerade i oskyddade områden med tillgängliga strömförbindelser och nätverkslänkar gör det lättare för en angripare.

"Säkerhetsproblem i samband med bankomaterna är alltför ofta inte erkända", säger rapporten. Mycket få banker har, om någon, genomfört en formell och fullständig säkerhetsriskbedömning av sina bankomater, enligt rapporten. "Användningen av begreppet" säkerhet genom obskärlighet "som länge har gått med dedikerade enheter är begreppsmässigt fel och visar sig vara så som den globala trenden i bankbedrägerier stiger."