Что за вирус поразил банкоматы

Обновлено: 18.04.2024

В России появился новый вирус, атакующий банкоматы. Особенность в том, что проникает он в банкомат без какого-либо физического контакта, а выявить и устранить проблему сложно. Как выяснил "Ъ", цель вируса — не средства клиентов, а деньги в банкомате, который настраивается на выдачу всех самых крупных купюр любому, набравшему определенный код. Пока простой механизм борьбы не найден, банкам остается лишь повышать общий уровень безопасности своих сетей. Однако большинству игроков проще и дешевле застраховать банкоматы, что только подстегнет к распространению мошенничества.

В пятницу замначальника ГУБЗИ ЦБ Артем Сычев сообщил о новом бесконтактном способе хищения денежных средств из банкоматов. "Мы всегда, когда говорили о скимминге, отмечали, что злоумышленник должен поставить что-то на банкомат, теперь новая технология появилась",— уточнил он, не раскрыв деталей, но сообщив, что информация о проблеме и возможности противодействия ей доведена до участников рынка (в рассылках FinCert).

По словам собеседников "Ъ", получивших рассылку, новый способ атак на банкоматы FinCert описал 15 марта. В ней сообщалось о так называемом бестелесном или бесфайловом вирусе, который "живет" в оперативной памяти банкомата. В рассылке отмечается, что в России в банкоматах он замечен впервые. Так как вирус не имеет файлового тела, его не видят антивирусы и он может жить в зараженном банкомате сколь угодно долго, поясняет один из собеседников "Ъ".

Вирус направлен на хищение средств непосредственно из банкомата, который при введении заданного кода выдает всю наличность из первой кассеты диспенсера, где хранятся самые крупные купюры (номиналом 1 тыс. или 5 тыс. руб.) — 40 штук. Получить средства может любой, кто введет код, но обычному человеку его подобрать сложно, слишком длительные попытки могут вызвать подозрение у служб безопасности банка, поясняют собеседники "Ъ".

Если в России данную схему мошенники применили впервые, то в мире подобные случаи уже были. "Хищение средств с помощью бесфайлового вируса под силу лишь профессиональным преступникам, поскольку тут необходимы достаточно серьезные технологии,— отмечает директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов.— Злоумышленники взламывают внешний контур сети банка, далее проникают в компьютер специалиста, отвечающего за банкоматную сеть, а оттуда вирус попадает в отдельный замкнутый контур банкоматной сети".

Собеседники "Ъ" в банках, получивших рассылку FinCert, рассказали, что в данном случае поражены были устройства крупнейшего производителя банкоматов — NCR. Но отказываться от этой марки банкиры не собираются, поскольку поражен таким образом может быть любой банкомат. "Выявленная уязвимость нехарактерна для конкретного производителя, так как все банкоматы работают под Windows",— говорит один из собеседников "Ъ".

Специалисты пока не нашли простого и эффективного способа борьбы с новым вирусом. "При перезагрузке банкомата вирус, по идее, должен без следа удаляться из оперативной памяти,— отмечает начальник управления информационной безопасности ОТП-банка Сергей Чернокозинский.— Однако он может прописывать себя в специальный раздел автозагрузки операционной системы и при каждом перезапуске компьютера "возрождаться" вновь". Постоянно перезагружать банкоматы — не выход из ситуации, отмечают банкиры. По их словам, перезагрузка банкомата занимает порядка пяти минут, то есть подобную процедуру невозможно провести незаметно для клиентов, к тому же банкомату, как и любому компьютеру, частые перезагрузки вредны.

Пока противоядие не найдено, банкирам остается не допускать заражения банкоматов. "Чтобы уберечься от подобных проникновений, банки должны усилить защиту внешнего контура и банкоматной сети,— отмечает начальник управления по развитию систем самообслуживания Альфа-банка Максим Дарешин.— Однако особенность в том, что стоимость защиты хоста не зависит от количества банкоматов, подключенных к сети, сто или несколько тысяч". "В подобной ситуации банки с небольшими банкоматными сетями, сопоставив объем затрат и рисков, вряд ли охотно будут вкладывать средства в безопасность, предпочитая застраховать банкоматы от хищений",— указывает собеседник "Ъ" в крупном банке, признавая, что такой подход, будет стимулировать мошенников и далее распространять новый вирус.

Российские карты скомпрометированы в Южной Европе

\n \n\t\t\t \n\t\t\t \n\t\t \n\t","content":"\t\t

\n\t\t\t\u0412\u044b \u043d\u0435 \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u043e\u0432\u0430\u043d\u044b \u043d\u0430 \u0441\u0430\u0439\u0442\u0435.\n\t\t \n\t\t

Будь в курсе последних новостей из мира гаджетов и технологий

Вирусы в банкоматах: опасность или халявные деньги?

Центробанк РФ разослал банкам информацию о распространении вируса, который заставляет банкоматы выдавать деньги по введённому с клавиатуры коду. Деньги с заражённого этим вирусом банкомата может снять любой человек, достаточно знать код.

Заражёнными оказались банкоматы, выпущенные компанией NCR. При вводе кода они выдают всю наличность из первого диспенсера, где находится 40 купюр по 1000 и 5000 рублей. В банкомате остаются только мелкие купюры — скорее всего, они неинтересны злоумышленникам. Эксперты полагают, что банки не будут отключать или менять банкоматы, поскольку им дешевле застраховать деньги от кражи. Кроме того, перед бесконтактными вирусами беззащитны банкоматы любого производителя.

Эффективного способа защитить банкоматы нет. Они заражены так называемым бесконтактным вирусом, который хранится в оперативной памяти банкомата, работающего на базе Windows. Антивирусные программы для Windows XP (а именно эта ОС в большинстве случае используется в банкоматах) бессильны перед вирусной активностью такого рода, поскольку они сканируют только накопители. Скорее всего, вирус умеет самостоятельно мутировать, сохраняться в скрытые области диска и компилироваться из нескольких компонентов, каждый из которых не считается вредоносным. Он восстанавливается даже после перезагрузки банкомата, во время которой содержимое оперативной памяти компьютера полностью очищается.

Компания NCR, чьи банкоматы, по данным Центробанка, оказались уязвимы, опровергла кражу денег. Вице-президент российского представительства NCR Константин Хоткин сказал, что компании неизвестно ни об одном случае атак на банкомат NCR, установленный в банке.

Код для снятия наличных известен только злоумышленникам, а они его не разглашают. Человек, который снимет деньги с помощью этого кода, может попасть под действие нескольких уголовных статей (кража, мошенничество, неправомерный доступ к компьютерной информации). Если он докажет, что непричастен к вирусу и набрал код случайно, то избежит ответственности, но всё равно должен будет возместить банку ущерб и вернуть деньги.

Банкоматы в России оказались атакованы новым опасным вирусом. Он проникает внутрь без физического контакта и заставляет выдать крупную сумму денег злоумышленнику при вводе специального кода.

Антивирус не спасет

Вирус вынуждает банкомат выдать все купюры номиналом 1 тыс. или 5 тыс. руб. при вводе специального кода. От зловредной программы пострадали банкоматы крупнейшего производителя подобных устройств — компании NCR Corporation. Эксперты сообщают, что отказываться конкретно от этого бренда бессмысленно, так как вирус может перекинуться и на другие устройства.

По словам эксперта, далее необходимо обеспечить безопасность изолированной сети банкоматов и временно отказаться от доставки обновлений и других файлов с сервера администрирования, которые потенциально могут запустить опасный код.

Ломай банкомат полностью

Атаки на банкоматы — не новое явление в кибермошенничестве, связанном с финансовой сферой. В 2015 году российские банкоматы были атакованы вирусом Tyupkin.

Он точно так же воздействовал на операционную систему банкомата и активировал по команде выдачу всех купюр, но, в отличие от нового вируса, Tyupkin требовал предварительного вскрытия устройства и физической загрузки.

В мае 2016 года сообщалось о взломе типа blackbox — злоумышленники просверливали отверстие в банкомате, подключали к нему устройство и отправляли команду на выдачу определенной суммы.

В этом случае от действий хакеров страдают только банки. Кроме того, во всем мире распространен так называемый скимминг — еще один способ мошенничества с помощью банкоматов, но уже нацеленный на карточки.

Жертва вставляет карту в считывающее устройство-скиммер, вмонтированное в банкомат, которое получает всю информацию с магнитной полосы — имя пользователя, номер карты, срок окончания действия, CVV- и CVC-код.

При этом скиммеры могут быть встроены и в переносные терминалы оплаты, которыми пользуются в ресторанах и магазинах.

Второй причиной эксперты назвали физическую защиту банкомата, так как верхняя часть устройства, где располагается компьютер, весьма подвержена внешнему воздействию.

Киберпреступники совершенствуют свои методы работы. Недавно представитель ЦБ рассказал о новом вредоносном вирусе, который поражает банкоматы, а также о массовой компрометации карт клиентов российских банков в Южной Европе. Всего в прошлом году с карт россиян было похищено свыше миллиарда рублей. Однако сами пострадавшие банкиры предпочитают не комментировать эти проблемы.

На прошедшей недавно Всероссийской банковской конференции заместитель начальника главного управления безопасности и защиты информации Центробанка Артем Сычев рассказал о новом опасном вирусе, проникающем внутрь банкоматов без физического контакта. Зловредная программа попадает в банкомат и закрепляется в его оперативной памяти, похищая купюры номиналом 1 тысяча и 5 тысяч рублей при вводе специального кода. При этом средства с карточки вирус не крадет.

Как предполагает Виталий Земских, в данном случае хакерами была произведена атака на внешний контур сети банка, далее — на сервер администрирования банкоматов в закрытой сети и только потом — непосредственно на банкоматы.

Сами банки утверждают, что все работает в штатном режиме.

В перспективе вредоносное программное обеспечение будет проанализировано антивирусными компаниями, которые смогут выпустить инструменты, позволяющие избежать заражения, говорит Виталий Земских. Однако пока банкам придется потратиться на борьбу с киберпреступностью.

При этом данный вирус не первый, который атакует банкоматы. Например, в 2015 году российские банкоматы были атакованы вирусом Tyupkin. Он точно так же воздействовал на операционную систему банкомата и активировал по команде выдачу всех купюр, но, в отличие от нового вируса, Tyupkin требовал предварительного вскрытия устройства и физической загрузки.

Хотя в таких ситуациях страдает банк, а не клиенты, затраты, которые кредитные учреждения несут в связи с борьбой с вирусами, банкиры зачастую перекладывают на обычных пользователей.

Впрочем, кроме потенциального перекладывания банком затрат на клиентов есть и прямая угроза для владельцев карточек — компрометация карт.

Как рассказал Артем Сычев, недавно Банк России получил от Интерпола информацию о большом количестве скомпрометированных карт клиентов российских банков.

Банковская карта считается скомпрометированной, если к мошенникам попали ее реквизиты, данные ее владельца или логины и пароли для доступа к интернет-банку или мобильному приложению. Как правило, такие хищения происходят с помощью скиммера — специально установленного устройства на банкоматы. И это самый распространенный способ компрометации карт.

По словам представителя ЦБ, скорее всего, карты были скомпрометированы в Южной Европе — Болгарии или Румынии.

При этом, по словам Артема Сычева, объем информации по скомпрометированным в Южной Европе картам занимает почти 500 Мб. Виктор Достов оценивает объем 500 Мб в несколько миллионов карт.

Но чьи это карты — неизвестно. Крупнейшие госбанки — ВТБ и Сбербанк — заявили, что не зафиксировали случаев компрометации своих карт. Частные банки говорят о том же.

Советы, которые дают банкиры в такой ситуации, обычно сводятся к необходимости соблюдать правила предосторожности.

Наиболее часто скимминговое оборудование устанавливается на уличные банкоматы, банкоматы в темных местах, в помещениях без охраны, в зонах свободного круглосуточного доступа при банковских отделениях в нерабочие дни данных отделений, отмечает банкир.

В России мошенники в последнее время уже не так активно крадут деньги через банкоматы. Например, в прошлом году мошенники похитили с карт 1,08 млрд рублей (через банкоматы — 175 млн рублей). В 2015 году эта цифра составляла 1,15 млрд рублей (через банкоматы было зафиксировано хищений на 311,3 млн рублей).

Сейчас популярность набирают другие способы хищения денег с карточки.

Так, выросло количество хищений с банковских карт посредством интернета. В 2015 году таких хищений было совершено на 570 млн рублей, а в 2016 году уже на 714,9 млн рублей.

В компании, для того чтобы избежать нежелательных последствий, рекомендуют соблюдать простые правила: во-первых, пользоваться только легальными расширениями, которые можно скачать из официального магазина расширений браузера, во-вторых, устанавливать только те расширения, которые действительно важны и нужны, а также внимательно читать предупреждения, прежде чем ставить галочки при установке.

Ребята, я не выдержал. Речь сейчас пойдет о банкоматном вирусе, обнаруженном больше года назад в банкоматах Diebold, и основном принципе его работы. Тема эта древняя, пик истерии давно уже прошел, но общественность так и не узнала, что же произошло на самом деле, из-за чего даже ИТ-шники строят массу догадок и рассказывают мифы. Про этот вирус было написано много статей, от технических описаний до политпросвещения домохозяек, но самый главный трюк нам так и не раскрыли. Объяснять я постараюсь попроще, ибо нам важно понять суть, а не вникать в детали конкретной реализации чего-либо.

Картинка для привлечения внимания:

Теперь давайте сделаем поверхностный экскурс в сам банкомат, и разберемся, откуда там могут быть вирусы. Открою тайну: подавляющее большинство банкоматов работает под Windows XP. Догадливый читатель поймет, что в данном случае угроза налицо, и надо начинать бояться. Но не все так плохо, как кажется. Во-первых, добросовестные поставщики банкоматного софта этот Windows сильно урезают, отключая в нем все, что только можно, защищают порты, закрывают доступы и так далее. А во-вторых, банкомат никогда не смотрит прямо в интернет – он или в выделенном сегменте корпоративной сети, или подключен через какую-нибудь шифровалку, типа Cisco или Checkpoint, и вирусу туда пробраться, мягко говоря, без вариантов. Соответственно, выход тут только инсайдерский, ибо извне подсунуть что-то в банкомат проблематично.

А что же представляет собой типичный банкоматный софт? А вот что. Архитектура этого софта аналогична клиент-серверной. Сервер в данном случае умеет работать с конкретным железом (которого в банкомате навалом) и публикует наружу программные интерфейсы, общие для каждого типа железа (диспенсер, кардридер, принтер, клавиатура и т. д.). Клиент, т. е. само бизнес-приложение, в свою очередь, пользуясь этими интерфейсами, показывает нам рекламу, выдает долгожданную зарплату, печатает чеки и радостно мигает лампочками. Все это хозяйство называется стандартом CEN/XFS. Я, пожалуй, приложу картинку.

Узнав такую новость, мы немедленно приступаем к написанию своего банкоматного софта ~~с блэкджеком и шлюхами~~, благо секретов тут нет, и все эмуляторы и спецификации от нас никто не прячет. Магнитную полосу мы прочитаем с кардридера, когда клиент вставит карту, а PIN-код из PIN-клавиатуры, когда клиент его наберет. Вот он, как говорится, profit. И с виду, вроде как, все нормально. Но радоваться рано, нас ждет небольшой облом. Дело в том, что PIN-код из клавиатуры в чистом виде прочитать нельзя. Можно только в зашифрованном.

Теперь разберемся с ключами шифрования, раз уж мы про них заговорили. Эти ключи находятся в самой клавиатуре, и прочитать их оттуда нельзя. Как правило, до начала эксплуатации банкомата банковские офицеры безопасности вручную заводят в клавиатуру так называемый мастер-ключ (MK). Затем периодически из процессинга в банкомат прилетает специальный рабочий ключ (WK), зашифрованный тем самым мастер-ключом, который кроме клавиатуры и специального прибора HSM, о котором упоминалось выше, никто не знает (офицеры вводят каждый свою компоненту и тоже полный ключ не знают). Итого у нас в клавиатуре сидят MK и MK(WK).

Начнем плавно подходить к кульминации. На самом деле в клавиатуру можно записать много разных ключей. А еще можно скормить ей PIN-блок, заставить расшифровать его рабочим ключом, зашифровать другим ключом и вернуть результат. Т. е. в чистом виде мы ключ никогда не получим, а в зашифрованном каким-либо ключом – пожалуйста. Так почему бы нам не записать туда свой, заведомо известный мастер-ключ и не дать клавиатуре команду шифровать PIN-блок именно им, а не каким-то другим? А мы потом его расшифруем, т. к. ключ нам теперь уже известен. Именно так и делает наш вирус.

Вот и весь фокус, ребята. Ничего сложного, правда?

Напоследок расскажу, в чем тут подвох. Неслучайно вирус орудовал именно на банкоматах Diebold. Дело в том, что в некоторых банкоматах Diebold были установлены старые клавиатуры, не соответствующие современным требованиям безопасности. А современные требования безопасности гласят, что клавиатуры в банкоматах должны обеспечивать иерархию ключей. Это означает, что если мы даем команду клавиатуре расшифровать PIN-блок рабочим ключом, то зашифровать мы его затем можем только тем мастер-ключом, которым был зашифрован рабочий. Это логично, т. к. если мы сумели загрузить рабочий ключ, значит мы знаем этот мастер-ключ (мы же им шифровали рабочий) и нам можно доверять. А вот если мы попросим зашифровать PIN-блок каким-либо ключом из соседней ветки, то нам не дадут – налицо признаки злых намерений.

Вот и все. Длинновато получилось, не надо было про PIN-блоки писать, ну да ладно. Надеюсь, я немного прояснил ситуацию, а разных мифов и толкований в известных кругах станет ходить поменьше. Особенно это актуально для больших банковских управленцев, которые мечтают ставить на банкоматы антивирусы, не понимая, что получат геморроя в разы больше, чем пользы. Нормальные парни давно пользуются решениями а-ля Solidcore и живут спокойно.

Читайте также: