Банкоматные вирусы: опасности мнимые и настоящие

***

Первый вирус для банкоматов «засветился» в августе 2003 г. в США: несколько банкоматов Diebold, работающих под управлением ОС Windows XP Embedded, оказались заражены вирусом Welchia. Никакого заметного вреда он не принёс: вредонос лишь генерировал паразитный трафик, пытаясь заразить другие подключенные к банкоматной сети машины. В итоге из-за перегрузки каналов связи некоторое количество банкоматов временно вышло из строя.

Вирус использовал «дыру» в функции удалённого вызова процедур (RPC) интерфейса DCOM. Эта «дыра» была заткнута соответствующей «заплаткой» (патчем) Microsoft. Компания Diebold распространила патч среди своих клиентов, и – во избежание повторения подобных инцидентов! – начала оснащать свои банкоматы встроенным брандмауэром.

И всё-таки: грозят ли вирусы банкоматам? Что говорят об этом производители антивирусов?

• 17 марта 2009 г. о вредоносной программе для банкоматов – банкоматном вирусе – сообщил сотрудник компании SophosLabs Ванья Швайцер (Vanja Svajcer) в корпоративном блоге SophosLabs.

Швайцер высказал удивление по этому поводу, так как создание и внедрение вредоносной программы в банкомат связаны с рядом сложностей. Банкоматы часто работают под управлением нестандартных операционных систем, а если даже это и Windows, то специализированная (Windows XP Embedded). Кроме того, программный и аппаратный интерфейс банкоматов считается недокументированным, банкоматы обычно соединяются в изолированные частные сети, а физический доступ к ним без специального ключа затруднён из-за множества датчиков.

Поэтому киберпреступники, специализирующиеся на банкоматах, обычно используют всевозможные устройства вроде скиммеров и видеокамер, с помощью которых собирают данные о магнитных полосах пластиковых карт и PIN-кодах. После этого злоумышленники производят фальшивые карты, по которым и снимают деньги.

Тем не менее, когда к Швайцеру обратился знакомый сотрудник банка, поделившийся слухами о заражённых банкоматах в России, тот начал проверять базу данных Sophos по вредоносному ПО. Он искал любые данные, связанные с компанией Diebold, крупнейшим американским производителем банкоматов, о котором шла речь в этих слухах, и нашёл три недавно поступивших файла. Автоматизированная система, которая анализирует попавшие в базу файлы, не сумела классифицировать их как вредоносные из-за их особой структуры, нацеленной исключительно на банкоматы. Однако Швайцер, проанализировав их вручную, обнаружил, что это самая настоящая троянская программа, которая способна вести подрывную деятельность в ПО Diebold Agilis.

Швайцер пока не расшифровал алгоритм трояна до конца. По предварительным данным, программа перехватывает данные со считывателя магнитной полосы и клавиатуры, шифрует собранную информацию и даже предоставляет злоумышленникам альтернативный пользовательский интерфейс.

По мнению Швайцера, разработка такого трояна требует участия программиста с хорошим знанием «внутренностей» банкоматов Diebold. В то же время он не думает, что такого типа атаки на банкоматы найдут широкое применение среди киберпреступников.

• 24 марта 2009 г. компания «Доктор Веб» сообщила о появлении новой угрозы в закрытых сетях банкоматов некоторых российских банков. Уникальность обнаруженного вируса состоит в его способности перехватывать данные банковских карт пользователей, которые ранее пользовались заражённым банкоматом. Тем самым, с помощью полученной информации злоумышленники получают возможность «уводить» со счетов людей все деньги, которыми они располагают.

Банкоматы и раньше подвергались вирусным атакам, однако в худшем случае они могли привести к некорректной работе данных устройств. Появившийся недавно вирус действует иначе и способен нанести серьёзный ущерб клиентам российских банков, которые используют банкоматы.

Образец этого троянца Служба вирусного мониторинга компании «Доктор Веб» получила через сервис онлайн-сканера. Dr.Web классифицирует данную вредоносную программу как Trojan.Skimer (Trojan.Skimer.A, BDS/Skimer.A.1, Backdoor.Win32.Skimer.a). Троянский конь собирает информацию о кредитных картах и PIN-кодах к ним. Единственное, что требуется злоумышленникам, использующим данный вирус, – подойти к банкомату, ввести код и получить на чеке распечатку с данными потенциальных жертв мошенничества.

В связи с тем, что, как правило, сети банкоматов не связаны со Всемирной Паутиной, единственный способ проникновения на них подобной вредоносной программы – участие в этом людей, тесно связанных с банком или являющихся их сотрудниками. Об этом также говорит тот факт, что на банкоматах устанавливается специальное ПО, поставляемое непосредственно их производителем. Соответственно, велика вероятность того, что создавали данный вирус люди, близко знакомые с логикой работы данного ПО и структурой его кода.

Всё это подтверждает результаты проведённых ранее исследований, свидетельствующих о том, что причиной утечек информации в организациях финансовой сферы зачастую становятся их сотрудники. Тем не менее, особенностью данной угрозы является тот факт, что ущерб наносится не только репутации банков, но и их многочисленным клиентам, в частности физическим лицам.

• 25 марта 2009 г. в «Лаборатории Касперского» заявили, что также обнаружили вирус и добавили его в свои антивирусные базы под именем Backdoor.Win32.Skimer.a.

«Это первая вредоносная программа, нацеленная на заражение и существование в банкоматах. Мы не исключаем появления новых вредоносных программ, направленных на нелегитимное использование банковской информации и наличных средств», – сообщил руководитель центра глобальных исследований и анализа угроз «ЛК» Александр Гостев.

Он уточнил, что обнаруженный вирус – это троянская программа, которая заражает банкоматы популярного американского производителя Diebold (по неподтверждённым данным, речь идет о банкоматах, расположенных на территории России и Украины). Анализ кода программы позволяет с высокой долей вероятности предположить, что его автор – гражданин одной из стран СНГ, отметил Гостев.

Заражённые машины становятся уязвимыми для дальнейших действий злоумышленника, а именно: имея специальную карточку доступа, вирусописатель может снять всю наличность, имеющуюся в банкомате, а также получить доступ к информации о всех проведённых через этот банкомат транзакциях других пользователей.

По словам Гостева, на сегодняшний день отсутствует информация о реально заражённых банкоматах. «Однако мы предполагаем, что их количество, если таковые вообще существуют, минимально», – отметил он.

Учитывая отсутствие реальных обращений от банков, принцип заражения пока не до конца очевиден, сказал представитель «Лаборатоии Касперского». Специалисты компании предполагают, что речь может идти о двух возможных вариантах: прямой физический доступ к системе банкомата или доступ через внутреннюю сеть банка, к которой подключены банкоматы. По словам Гостева, рядовой пользователь не сможет самостоятельно определить заражение банкомата, однако это могут сделать его владельцы: «Чтобы избежать возможного заражения, эксперты «Лаборатории Касперского» настоятельно рекомендуют всем банкам провести проверку эксплуатируемых сетей банкоматов при помощи обычной антивирусной программы, детектирующий данное зловредное ПО».

• Эксперты антивирусной компании ESET считают «банкоматный вирус» чёрным пиаром. «Вся история с вирусом для банкоматов чрезмерно преувеличена. Технологически вероятность распространения такого вредоносного гада в сети банкоматов близка к нулю, так как современные банкоматы не работают с PIN-кодами в открытом виде: эти номера шифруются ещё на клавиатуре и только потом передаются в процессинговый центр. Пользы от зашифрованного 128-разрядным ключом PIN-кода для хакеров немного, – говорит технический директор российского представительства ESET Григорий Васильев. – Скорее всего, Skimer был написан специально для того, чтобы спровоцировать шум в прессе, нанести репутационный ущерб либо пострадавшим банкам, либо производителю банкоматов. Реальной финансовой выгоды автор в принципе получить не мог из-за особенностей внутренней защиты данных».

Грозят ли вирусы банкоматам? Что говорят об этом сотрудники банков?

«Росбанк» сообщил об обнаружении в своих банкоматах вируса, позволяющего злоумышленникам получить персональные данные карт клиентов. Однако, согласно заявлению банка, массового распространения данный вирус не получил: «Он был выявлен и устранён нашей системой безопасности на начальном этапе. В сети банкоматов «Росбанка», насчитывающей более 1800 устройств, проблемы были обнаружены в 4-х. Самое важное – счета клиентов были защищены. В настоящее время банкоматный парк «Росбанка» работает в штатном режиме».

Помимо 4-х банкоматов «Росбанка» был заражен один банкомат банка «Петрокоммерц».

Грозят ли вирусы банкоматам? Что говорит об этом производитель банкоматов?

Американский производитель банкоматов Diebold, продукцией которого пользуются в том числе российские банки, не зафиксировал случаев несанкционированного доступа к банкоматам с помощью специальных вирусов, но предупреждает о необходимости соблюдения мер безопасности для борьбы с ними: «Diebold знает о существовании компьютерного вируса, созданного для банкоматов. В январе 2009 г. компания проинформировала об этом своих клиентов, с целью минимизации риска несанкционированного доступа к банкоматам банкам предоставлена специально разработанная компонента ПО и подробная инструкция по безопасности».

По сведениям Diebold, на данный момент случаев получения доступа к базам данных банковских клиентов не зафиксировано. Для того чтобы внедрить вредоносное ПО мошенники должны иметь физический доступ к «начинке» конкретного банкомата.

Diebold напоминает своим клиентам о необходимости следовать таким общепринятым нормам безопасности, как ограничение физического доступа к банкоматам, установка видеонаблюдения, управление паролями и обновление ПО с целью минимизировать подверженность банкоматов действиям злоумышленников.

Так грозят ли вирусы банкоматам? Что делать пользователям банкоматов?

IT-аналитики считают, что пользователям банкоматов не стоит паниковать по поводу банкоматных вирусов. Гораздо большую опасность представляют скиммеры – устройства, прикрепляемые злоумышленниками на слот для пластиковых карточек в банкомате. Скиммеры позволяют считывать информацию с магнитных лент карточек, а затем изготавливать дубликаты. Обычно скиммер дополняется специальной – малозаметной! – накладкой на клавиатуру банкомата, или же миниатюрной видеокамерой.

– Включите систему sms-уведомлений о совершаемых вами транзакциях;

– не пользуйтесь банкоматами на вокзалах и прочих слишком людных местах;

– по возможности выбирайте банкомат рядом с банком, как правило, здесь расположено больше наружных видеокамер, – злоумышленники стараются избегать таких мест;

– хорошенько присматривайтесь к внешнему виду банкоматов (особенно обращайте внимание на клавиатуру и слот для ввода карты): если вы увидите что-нибудь подозрительное, то поищите другой банкомат;

– как правило, на табло банкомата после ввода карты появляется предложение сравнить вид банкомата с изображением на экране (обязательно сравните!);

– обнаружив что-нибудь подозрительное на банкомате, позвоните в банк о своей «находке»;

– не пользуйтесь банкоматом, если поблизости от него постоянно крутятся какие-то люди с включенными мобильниками;

– почаще проверяйте баланс, и если с вашего счёта стали исчезать какие-либо суммы – даже небольшие! – немедленно звоните в банк.

1. Компания Diebold – один из ведущих поставщиков аппаратных и технологических решений для автоматизации банковской деятельности. С момента своего основания в 1859 г. компания ориентирована на производство оборудования для банков и финансовых институтов. С конца 1960-х гг. Diebold разрабатывает и выпускает терминалы банковского самообслуживания и программное обеспечение к ним. Офис Diebold в России был зарегистрирован в 1998 г., в 2003 г. была создана дочерняя компания «Диболд Селф-Сервис СНГ».

2. Скиммер (от англ. skim – снимать) – устройство для перехвата информации с магнитной ленты пластиковых карт. Скиммеры появились примерно в 2002 г. в Европе (первое упоминание о них поступило из Англии).

Современный скиммер состоит из двух частей. Первая – это накладной симулятор приёмника карты в банкомате, предназначенный для считывания информации с магнитной полоски карточки. Устройство содержит считыватель, микросхему преобразователя информации, контроллер и накопитель.

Вторая часть скиммера – накладная клавиатура, предназначенная для съёма информации о PIN-коде карты.

Скиммеры накапливают информацию о картах, затем с помощью передатчика по беспроводным каналам (например, по Bluetooth или с помощью sms-сообщения) передают её на мобильный телефон или другое приёмное устройство, как правило, спрятанное в нескольких метрах от банкомата.