sergsteshen1
Специалист
Хищение информации о банковских картах возможно практически на всех аппаратах, говорится в исследовании "Сценарии логических атак на банкоматы" от Positive Technologies. Попав в сервисную зону банкомата, злоумышленники могут в 100% случаев получить данные карточек клиентов, прошедших через картридер, и понадобится им на это всего 15 минут. Как это работает и стоит ли волноваться простым гражданам?
Как преступники взламывают банкоматы?
Банкомат состоит из двух основных частей — сервисной зоны и сейфа. В сервисной зоне расположен системный блок — обычный компьютер, к которому присоединены все остальные устройства, в частности сетевое оборудование, картридер, клавиатура (пинпад) и диспенсер купюр (диспенсер находится в сейфовой части, но шлейф подключения к компьютеру вынесен за ее пределы).
ервисная зона практически никак не защищена от злоумышленников: пластиковая дверка закрыта на простой замок, причем производители обычно устанавливают одинаковые замки на все банкоматы одной серии, сообщается в исследовании Positive Technologies. Ключ от такого замка легко приобрести в интернете, кроме того злоумышленник может воспользоваться отмычкой или просверлить тонкий пластик. В защищенном сейфе, сделанном уже из прочных материалов (стали и бетона), находятся только диспенсер купюр и модуль для приема наличных.
Компьютер обычно функционирует под управлением специальной версии ОС Windows, разработанной для установки в банкоматах. Софт обеспечивает все необходимые пользователю функции при работе с банкоматом. Для обработки каждой транзакции банкомат обращается к процессинговому центру, расположенному в банке. Подключение к центру осуществляется через проводные или беспроводные каналы связи (например, через сотовую связь). Помимо процессингового центра банкомат также соединен с внутренней сетью банка, откуда осуществляются подключения для удаленного администрирования, и с сервером обновления ПО
Атаки на встроенный компьютер, сетевое оборудование, а также основные периферийные устройства — картридер и диспенсер позволяют перехватить карточные данные, вмешаться в процесс обработки транзакции процессинговым центром или отправить команду на выдачу купюр диспенсеру. Для проведения атак злоумышленнику нужно получить физический доступ в сервисную зону банкомата либо подключиться к сети, в которой находится банкомат.
МНЕНИЕ ЭКСПЕРТА
Количество атак на банкоматы растет
В январе 2018 г. Секретная служба США, а также крупнейшие производители банкоматов Diebold Nixdorf и NCR выпустили экстренные предупреждения, в которых сообщалось об угрозе атак на банкоматы. Особое внимание при этом уделялось способам атак: предполагалось, что преступники собираются заражать банкоматы вредоносным ПО или подключать специальные устройства, чтобы управлять выдачей денег. Такие атаки называются логическими, и хотя они требуют тщательной технической подготовки, их проведение привлекает значительно меньше внимания, а значит, сопряжено с меньшим риском.
С 2009 г. логические атаки начали набирать популярность среди киберпреступников. Европейская ассоциация безопасных транзакций (The European Association for Secure Transactions, EAST) опубликовала отчет об атаках на банкоматы за 2017 г. По сравнению с 2016 г. количество логических атак в Европе увеличилось в три раза, а общая сумма ущерба достигла 1,52 млн евро.
Необходимо понимать, что главное — это не алгоритм работы программы, а то, каким образом она устанавливается на банкомат, сообщают эксперты Positive Technologies. Выявление потенциальных путей заражения и уязвимых компонентов — первый шаг к обеспечению защиты банка и его клиентов.
МНЕНИЕ ЭКСПЕРТА
Варианты атаки
Для проведения атак на сетевом уровне злоумышленнику прежде всего необходим доступ к сети, к которой подключен банкомат. Если злоумышленник — сотрудник банка или провайдера, то у него есть возможность получить доступ удаленно. В других случаях требуется физическое присутствие, чтобы открыть сервисную зону, отключить Ethernet-кабель от банкомата и подсоединить свое устройство до модема или вместо него. Затем злоумышленник сможет подключиться к этому устройству и проводить атаки на доступные сетевые службы или атаки типа "человек посередине".
Если не обеспечивается защита данных, передаваемых между банкоматом и процессинговым центром, злоумышленник может вмешаться в процесс подтверждения транзакции. Для этого используется эмулятор процессингового центра, который одобрит любой запрос, поступивший от банкомата, и в ответ отправит команду на выдачу денег. Эмулятор подключается к кабелю Ethernet в сервисной зоне банкомата или вместо сетевого оборудования.
Злоумышленник может воспользоваться уязвимостями в доступных сетевых службах, в том числе в службах удаленного управления, и получить возможность выполнять произвольные команды. В результате он сможет отключить защитные механизмы и управлять выдачей денег из диспенсера.
Существует еще один способ получения доступа к сети — атака непосредственно на сетевые устройства, к которым подключен банкомат. Преступники, получившие контроль над оборудованием, могут распространить атаку на другие банкоматы, входящие в данную сеть, и даже более того — проникнуть в инфраструктуру банка.
Диспенсер купюр находится в хорошо защищенном сейфе. Однако ко встроенному компьютеру он подключен в сервисной зоне, открыть которую не составляет труда. Также были зафиксированы случаи, когда злоумышленники просверливали отверстия в лицевой панели банкомата, чтобы добраться до кабеля диспенсера. Получив доступ к кабелю, злоумышленник может напрямую подключить диспенсер к своему устройству, запрограммированному для отправки команд на выдачу купюр. Атаки такого типа получили название Black Box.
Обойти установленные средства защиты и получить контроль над диспенсером возможно при подключении к жесткому диску банкомата. Если содержимое диска не зашифровано, злоумышленник может записать на него вредоносную программу, содержащую команды для взаимодействия с диспенсером. Кроме того, злоумышленник может похитить чувствительную информацию с диска, например скопировать отдельное приложение или полный образ диска, а затем использовать модифицированные версии для дальнейших атак.
Стоит ли простым гражданам бояться снимать деньги в банкоматах?
Логические атаки на банкоматы год от года набирают популярность, а ущерб от них исчисляется миллионами долларов. В первую очередь эти атаки направлены на владельцев банкоматов, однако могут затронуть и клиентов банка, в том случае если злоумышленникам удастся скопировать информацию с платежных карт.
При этом используемые механизмы безопасности не являются серьезным препятствием для реализации атак. Эксперты Positive Technologies выявили почти во всех случаях возможность обхода установленных средств защиты. Обычно банки используют одну и ту же конфигурацию на множестве банкоматов, поэтому успешная атака на один банкомат позволяет преступникам провести целую серию аналогичных атак с использованием того же сценария.
Самая частая опасность для простых пользователей банкоматов - перехват данных, передаваемых между ОС и картридером. В ходе этой атаки между системным блоком банкомата и картридером подключается устройство, которое перехватывает содержимое дорожек магнитной полосы платежных карт. Подобные атаки возможны из-за отсутствия аутентификации и шифрования данных при взаимодействии с картридером и передачи данных карты в открытом виде.
Positive Technologies утверждают, что подобные недостатки были обнаружены во всех исследуемых банкоматах. Кроме того, чтение данных из картридера может осуществляться и без использования аппаратного устройства, однако в этом случае злоумышленнику необходимо установить на банкомат свою вредоносную программу. В отчете сообщает, что во всех банкоматах отсутствовала аутентификация при обмене данными с картридером, а значит, к картридеру могло обратиться любое устройство. Проведение атаки ограничивается лишь возможностью выполнения вредоносного кода в ОС банкомата.
МНЕНИЕ ЭКСПЕРТА
МНЕНИЕ ЭКСПЕРТА
Как защищаться банкам?
Для того чтобы снизить риск атак, эксперты Positive Technologies советуют уделить внимание физической защите сервисной зоны, так как доступ ко встроенному компьютеру и точкам подключения периферийного оборудования является необходимым условием для эксплуатации большей части обнаруженных уязвимостей.
Необходимо вести регистрацию и мониторинг событий безопасности: это позволит вовремя реагировать на возникающие угрозы. Помимо этого, важно регулярно проводить анализ защищенности банкоматов, чтобы своевременно выявлять и устранять существующие уязвимости.
Анализ защищенности может дополнительно включать в себя исследование (реверс-инжиниринг) используемого ПО, в частности решений класса Application Control, ПО для работы с XFS, прошивок сетевого оборудования. Такие исследования показывают высокую эффективность, поскольку позволяют выявить уязвимости нулевого дня и обеспечить защиту от новых, неизвестных ранее векторов атак.
Источник
Как преступники взламывают банкоматы?
Банкомат состоит из двух основных частей — сервисной зоны и сейфа. В сервисной зоне расположен системный блок — обычный компьютер, к которому присоединены все остальные устройства, в частности сетевое оборудование, картридер, клавиатура (пинпад) и диспенсер купюр (диспенсер находится в сейфовой части, но шлейф подключения к компьютеру вынесен за ее пределы).
ервисная зона практически никак не защищена от злоумышленников: пластиковая дверка закрыта на простой замок, причем производители обычно устанавливают одинаковые замки на все банкоматы одной серии, сообщается в исследовании Positive Technologies. Ключ от такого замка легко приобрести в интернете, кроме того злоумышленник может воспользоваться отмычкой или просверлить тонкий пластик. В защищенном сейфе, сделанном уже из прочных материалов (стали и бетона), находятся только диспенсер купюр и модуль для приема наличных.
Компьютер обычно функционирует под управлением специальной версии ОС Windows, разработанной для установки в банкоматах. Софт обеспечивает все необходимые пользователю функции при работе с банкоматом. Для обработки каждой транзакции банкомат обращается к процессинговому центру, расположенному в банке. Подключение к центру осуществляется через проводные или беспроводные каналы связи (например, через сотовую связь). Помимо процессингового центра банкомат также соединен с внутренней сетью банка, откуда осуществляются подключения для удаленного администрирования, и с сервером обновления ПО
Атаки на встроенный компьютер, сетевое оборудование, а также основные периферийные устройства — картридер и диспенсер позволяют перехватить карточные данные, вмешаться в процесс обработки транзакции процессинговым центром или отправить команду на выдачу купюр диспенсеру. Для проведения атак злоумышленнику нужно получить физический доступ в сервисную зону банкомата либо подключиться к сети, в которой находится банкомат.
МНЕНИЕ ЭКСПЕРТА
Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского»: Средства из банкоматов могу быть выведены в результате различных угроз. Это могут быть атаки на инфраструктуру, атаки с использованием блэкбоксов, вредоносное ПО именно для этих устройств.
Атаки с использованием блэкбоксов. Технология BlackBox основана на подключении стороннего устройства к диспенсеру (устройству для выдачи денег). Несмотря на название ("черная коробка"), цвет может быть и белым, с размером от коробки из-под обуви до мобильного телефона. Злоумышленники обычно подключают такое устройство либо через просверленное отверстие в банкомате, либо используют ключи инженеров для открытия сервисной части банкомата, где находится компьютер, который управляет всеми его действиями. Злоумышленники отключают компьютер и подключают своё устройство, которое дает команду на выдачу денег. Обычно атака происходит в 3 этапа. Первый – установка этого стороннего устройства. Второй – выдача денег. Между этими этапами может проходить от нескольких часов, до нескольких дней. После получения наличных, злоумышленники снимают устройство.
Вредоносное ПО. Один из недавних примеров – вредоносное ПО Cutlet Maker. Оно позволяет красть деньги из банкоматов, если злоумышленникам удалось получить физический доступ к устройству. За определенную сумму создатели Cutlet Maker предоставляют не только готовый набор инструментов, но и пошаговую инструкцию.
Количество атак на банкоматы растет
В январе 2018 г. Секретная служба США, а также крупнейшие производители банкоматов Diebold Nixdorf и NCR выпустили экстренные предупреждения, в которых сообщалось об угрозе атак на банкоматы. Особое внимание при этом уделялось способам атак: предполагалось, что преступники собираются заражать банкоматы вредоносным ПО или подключать специальные устройства, чтобы управлять выдачей денег. Такие атаки называются логическими, и хотя они требуют тщательной технической подготовки, их проведение привлекает значительно меньше внимания, а значит, сопряжено с меньшим риском.
С 2009 г. логические атаки начали набирать популярность среди киберпреступников. Европейская ассоциация безопасных транзакций (The European Association for Secure Transactions, EAST) опубликовала отчет об атаках на банкоматы за 2017 г. По сравнению с 2016 г. количество логических атак в Европе увеличилось в три раза, а общая сумма ущерба достигла 1,52 млн евро.
Необходимо понимать, что главное — это не алгоритм работы программы, а то, каким образом она устанавливается на банкомат, сообщают эксперты Positive Technologies. Выявление потенциальных путей заражения и уязвимых компонентов — первый шаг к обеспечению защиты банка и его клиентов.
МНЕНИЕ ЭКСПЕРТА
Кирилл Сарсенов, руководитель направления предотвращения транзакционного мошенничества SAS Россия/СНГ(Transactional Fraud Solutions Leader):
"В некотором смысле уязвимы все банкоматы, вопрос только в средствах и времени, которое уйдет на взлом. Это может быть физическая атака на устройство, взлом компьютера, кибератака на информационный контур банка и подсистему управления банкоматами – вариантов действительно много.
Банки понимают, что безопасность счетов клиентов и банкоматной сети – это в том числе вопрос репутации и доверия, и делают многое для защиты карт и банкоматов. Но любые технологии, которые связаны с доступом к деньгам, привлекают внимание преступников. По мере совершенствования технологий по безопасности платежной инфраструктуры мошенники также совершенствуют и методы технологичных ограблений. Поскольку банки и платежные системы в нашем регионе уже научились бороться со скиммингом, его место среди банкоматного мошенничества заняли Black Box, подмена хоста, мошенничество с операциями отмены, вредоносное ПО и другие методы.
Варианты атаки
Для проведения атак на сетевом уровне злоумышленнику прежде всего необходим доступ к сети, к которой подключен банкомат. Если злоумышленник — сотрудник банка или провайдера, то у него есть возможность получить доступ удаленно. В других случаях требуется физическое присутствие, чтобы открыть сервисную зону, отключить Ethernet-кабель от банкомата и подсоединить свое устройство до модема или вместо него. Затем злоумышленник сможет подключиться к этому устройству и проводить атаки на доступные сетевые службы или атаки типа "человек посередине".
Если не обеспечивается защита данных, передаваемых между банкоматом и процессинговым центром, злоумышленник может вмешаться в процесс подтверждения транзакции. Для этого используется эмулятор процессингового центра, который одобрит любой запрос, поступивший от банкомата, и в ответ отправит команду на выдачу денег. Эмулятор подключается к кабелю Ethernet в сервисной зоне банкомата или вместо сетевого оборудования.
Злоумышленник может воспользоваться уязвимостями в доступных сетевых службах, в том числе в службах удаленного управления, и получить возможность выполнять произвольные команды. В результате он сможет отключить защитные механизмы и управлять выдачей денег из диспенсера.
Существует еще один способ получения доступа к сети — атака непосредственно на сетевые устройства, к которым подключен банкомат. Преступники, получившие контроль над оборудованием, могут распространить атаку на другие банкоматы, входящие в данную сеть, и даже более того — проникнуть в инфраструктуру банка.
Диспенсер купюр находится в хорошо защищенном сейфе. Однако ко встроенному компьютеру он подключен в сервисной зоне, открыть которую не составляет труда. Также были зафиксированы случаи, когда злоумышленники просверливали отверстия в лицевой панели банкомата, чтобы добраться до кабеля диспенсера. Получив доступ к кабелю, злоумышленник может напрямую подключить диспенсер к своему устройству, запрограммированному для отправки команд на выдачу купюр. Атаки такого типа получили название Black Box.
Обойти установленные средства защиты и получить контроль над диспенсером возможно при подключении к жесткому диску банкомата. Если содержимое диска не зашифровано, злоумышленник может записать на него вредоносную программу, содержащую команды для взаимодействия с диспенсером. Кроме того, злоумышленник может похитить чувствительную информацию с диска, например скопировать отдельное приложение или полный образ диска, а затем использовать модифицированные версии для дальнейших атак.
Стоит ли простым гражданам бояться снимать деньги в банкоматах?
Логические атаки на банкоматы год от года набирают популярность, а ущерб от них исчисляется миллионами долларов. В первую очередь эти атаки направлены на владельцев банкоматов, однако могут затронуть и клиентов банка, в том случае если злоумышленникам удастся скопировать информацию с платежных карт.
При этом используемые механизмы безопасности не являются серьезным препятствием для реализации атак. Эксперты Positive Technologies выявили почти во всех случаях возможность обхода установленных средств защиты. Обычно банки используют одну и ту же конфигурацию на множестве банкоматов, поэтому успешная атака на один банкомат позволяет преступникам провести целую серию аналогичных атак с использованием того же сценария.
Самая частая опасность для простых пользователей банкоматов - перехват данных, передаваемых между ОС и картридером. В ходе этой атаки между системным блоком банкомата и картридером подключается устройство, которое перехватывает содержимое дорожек магнитной полосы платежных карт. Подобные атаки возможны из-за отсутствия аутентификации и шифрования данных при взаимодействии с картридером и передачи данных карты в открытом виде.
Positive Technologies утверждают, что подобные недостатки были обнаружены во всех исследуемых банкоматах. Кроме того, чтение данных из картридера может осуществляться и без использования аппаратного устройства, однако в этом случае злоумышленнику необходимо установить на банкомат свою вредоносную программу. В отчете сообщает, что во всех банкоматах отсутствовала аутентификация при обмене данными с картридером, а значит, к картридеру могло обратиться любое устройство. Проведение атаки ограничивается лишь возможностью выполнения вредоносного кода в ОС банкомата.
МНЕНИЕ ЭКСПЕРТА
Сергей Голованов, ведущий антивирусный эксперт "Лаборатории Касперского":
"При похищении средств из банкоматов страдают финансовые организации, средства частных клиентов при этом остаются в безопасности. Если же карта была скомпрометирована, то злоумышленники могут вывести с нее средства. Минимизировать риски от подобной угрозы можно, соблюдая элементарную осторожность: внимательно осматривать устройство, прикрывать рукой клавиатуру при вводе пин-кода, по возможности снимать деньги в банкоматах, установленных в операционных залах отделений банков, внимательно следить за движением средств на карте и сразу уведомлять банк о несанкционированных транзакциях. Также стоит завести отдельную банковскую карту с небольшой суммой для ежедневных платежей, а накопления держать на отдельном счете. В этом случае, даже если данные карты окажутся у злоумышленников, убытки будут невелики".
МНЕНИЕ ЭКСПЕРТА
Кирилл Сарсенов, руководитель направления предотвращения транзакционного мошенничества SAS Россия/СНГ(Transactional Fraud Solutions Leader):
"Важный момент: технологические атаки на банкоматы прежде всего нацелены на сами банки, а не на их клиентов. Плюс к этому, в отличие от некоторых других регионов, держатели банковских карт в России используют чиповые карты, а большинство банков осуществляют круглосуточный контроль за операциями с использованием выпущенных ими карт. С помощью аналитических систем банки отслеживают характерные для каждого конкретного клиента паттерны поведения, характерные для него транзакции, их периодичность и т. д. В случае нетипичной операции она просто может быть заблокирована или отложена до прояснения обстоятельств напрямую с клиентом.
Так как не существует технологии, которая сама по себе являлась бы абсолютно защищенной, банки для защиты клиента и своей собственной инфраструктуры должны инвестировать в безопасность и обеспечивать рисковый подход комплексно, применяя средства и физической, и технологической защиты, обеспечивать круглосуточный мониторинг при помощи современных антифрод-систем и оперативно реагировать на угрозы. Важно, чтобы системы банка позволяли своевременно отслеживать признаки атаки и предотвращать потери от таких атак".
Как защищаться банкам?
Для того чтобы снизить риск атак, эксперты Positive Technologies советуют уделить внимание физической защите сервисной зоны, так как доступ ко встроенному компьютеру и точкам подключения периферийного оборудования является необходимым условием для эксплуатации большей части обнаруженных уязвимостей.
Необходимо вести регистрацию и мониторинг событий безопасности: это позволит вовремя реагировать на возникающие угрозы. Помимо этого, важно регулярно проводить анализ защищенности банкоматов, чтобы своевременно выявлять и устранять существующие уязвимости.
Анализ защищенности может дополнительно включать в себя исследование (реверс-инжиниринг) используемого ПО, в частности решений класса Application Control, ПО для работы с XFS, прошивок сетевого оборудования. Такие исследования показывают высокую эффективность, поскольку позволяют выявить уязвимости нулевого дня и обеспечить защиту от новых, неизвестных ранее векторов атак.
Источник