2018/11/30 18:39:33

Взлом банкоматов

.

Содержание

Основные статьи:

Виды атак

2018

Хакеры активно грабят банкоматы, не используя вредоносное ПО

29 ноября 2018 года эксперты «Лаборатории Касперского» поделились информацией о том, что в течение 2017-2018 года им пришлось расследовать ряд странных атак на восточноевропейские банки, объединенные инструментарием под условным названием KoffeyMaker: преступники быстро и практически беспрепятственно опустошали банкоматы и были таковы. Быстро выяснилось, что злоумышленники производили атаки под общим названием black box, которые в большой степени были «физическими».

Фото: securelist.ru
«
Злоумышленник вскрывал банкомат, подключал диспенсер к своему ноутбуку, закрывал банкомат и покидал место преступления, оставив устройство внутри. Дальнейшее расследование показало, что в качестве «орудия преступления» выступал ноутбук с установленными драйверами для диспенсера банкомата и пропатченной утилитой KDIAG; для организации удаленного доступа к нему был подключен USB GPRS-модем. В качестве ОС использовалась Windows, скорее всего, версии XP, ME или 7 для лучшей совместимости с драйверами, — говорится в публикации «Лаборатории Касперского».
»

Диспенсер банкомата подключен к компьютеру без необходимых драйверов
«
Использование злоумышленниками столь «антикварных» операционных систем объясняется очень легко: многие банкоматы до сих пор используют устаревшее ПО, — пояснил Олег Галушкин, директор по информационной безопасности компании SEC Consult Services. — Банкоматы — вообще один из самых уязвимых компонентов банковской инфраструктуры, хотя по идее должны быть максимально защищенными. Как правило, основу банкоматов составляются обычные компьютеры на базе ОС Windows, часто устаревших версий, к которым подключены дополнительные аппаратные компоненты, в том числе считыватель карт и диспенсер. Вскрыть внешнюю оболочку банкомата несколько проще, чем диспенсер, в котором хранятся банкноты. При этом у злоумышленников часто есть возможность переподключать диспенсер к постороннему оборудованию — без каких-либо последствий и сигналов тревоги. В конечном счете, комбинация подобных недостатков физической и информационной безопасности делает банкоматы легкой добычей для воров.
»

Дальше ситуация развивалась по типичному сценарию: в нужное время злоумышленник возвращался и имитировал работу с банкоматом, а его сообщник — если таковой был — удаленно подключался к спрятанному ноутбуку, запускал KDIAG и отдавал диспенсеру команду на выдачу банкнот. Дальше злоумышленник(-и) забирал(-и) и деньги, а затем и ноутбук.

«
Всю операцию вполне мог реализовать и один человек, однако партнерская схема, в которой один участник является «мулом» и работает непосредственно с деньгами и банкоматом, а второй за долю от награбленного обеспечивает техническое сопровождение операции, более распространена, — говорится в публикации «Лаборатории Касперского».
»

Как отметили эксперты «Лаборатории», в целом принцип ограбления KoffeyMaker схож с описанным в 2017 году Cutlet Maker (вредоносное ПО для кражи денег из банкоматов, свободно продающееся в Даркнете), однако в этот раз для операции злоумышленниками использовались практически исключительно легитимные программы. Только утилита KDIAG была видоизменена таким образом, что теперь антивирусные продукты детектируют ее как вредоносную.

Добыча злоумышленников может исчисляться десятками тысяч долларов только с одного банкомата. Единственный способ защититься от подобной атаки — применение аппаратного шифрования данных на участке «диспенсер — ATM PC». В публикации указывается, что ранее той же самой версией этой программы пользовались киберпреступники из APT-группировки Carbanak.[1]

Тестирование банкоматов NCR, Diebold Nixdorf и GRGBanking на атаки

14 ноября 2018 года компания Positive Technologies сообщила, что ее эксперты протестировали банкоматы производства NCR, Diebold Nixdorf и GRGBanking и выявили потенциальные риски для банков и их клиентов.

Для атаки Black Box оказались уязвимы 69% исследованных банкоматов. Атака заключается в подключении к диспенсеру особого устройства, запрограммированного на отправку команд для выдачи купюр. В некоторых моделях банкоматов преступнику на это потребуется 10 минут, говорится в отчете.

Большинство банкоматов (85%) недостаточно защищены от атак на сетевом уровне, в частности от подмены процессингового центра, которая позволяет вмешаться в процесс подтверждения транзакции и подделать ответ от центра — одобрить любой запрос на снятие наличных или увеличить количество выдаваемых купюр. В исследовании также приводятся примеры атак на сетевые устройства — GSM-модемы, к которым подключены банкоматы: в результате можно развить атаку на другие банкоматы сети и даже на внутреннюю сеть банка.

Отмечается, что 92% банкоматов уязвимы для атак, связанных с отсутствием шифрования жесткого диска. Так, злоумышленник может подключиться к жесткому диску банкомата напрямую — и в том случае, если содержимое диска не зашифровано, записать на него вредоносную программу и отключить любые средства защиты. В итоге преступник получит контроль над диспенсером.

В 76% банкоматов возможна атака «Выход из режима киоска». Она подразумевает обход ограничений, установленных для обычного пользователя, и выполнение команд в ОС банкомата. По данным экспертов, на проведение такой атаки злоумышленнику понадобится 15 минут, а при тщательной подготовке и использовании автоматизации — еще меньше.

«
В ходе анализа защищенности выяснилось, что в большинстве банкоматов можно свободно подключать сторонние устройства. Это позволяет злоумышленнику подключить клавиатуру или другое устройство, имитирующее пользовательский ввод. В большинстве случаев в банкоматах не было запрета на использование некоторых распространенных комбинаций клавиш для получения доступа к функциям ОС, а локальные политики безопасности были настроены некорректно или вовсе отсутствовали. В 88% банкоматов удалось обойти установленные решения класса Application Control из-за некорректного подхода к формированию списка доверенных приложений или из-за уязвимостей, в том числе нулевого дня, в коде самих средств защиты».
Екатерина Килюшева, аналитик компании Positive Technologies
»

«
В первую очередь логические атаки на банкоматы направлены на их владельцев, однако могут затронуть и клиентов банка. При выполнении работ по анализу защищенности банкоматов мы выявляем уязвимости, связанные с возможностью проведения сетевых атак, ошибками конфигурации ПО и средств защиты, недостаточной защитой периферийных устройств. Все эти недостатки позволяют злоумышленникам похитить деньги из банкомата или перехватить данные платежных карт клиентов. Чтобы снизить риск атак, следует уделить внимание физической защите сервисной зоны, необходимо вести регистрацию и мониторинг событий безопасности как в инфраструктуре, так и на самом банкомате, что позволит вовремя реагировать на возникающие угрозы. Помимо этого, важно регулярно проводить анализ защищенности банкоматов, чтобы своевременно выявлять и устранять существующие уязвимости.
Ярослав Бабин, руководитель группы исследований безопасности банковских систем компании Positive Technologies
»

Уязвимость в банкоматах привела к массовому вбросу фальшивых купюр

В начале сентября 2018 года стало известно о массовом вбросе в банкоматы фальшивых купюр номиналом 5 тыс. рублей. Проблема связана с уязвимостью устаревшего оборудования.

Как рассказали «Ведомостям» сотрудники двух крупных банков, производитель банкоматов NCR предупредил российских клиентов, что мошенники начали активно обналичивать поддельные банкноты через банкоматы со старыми устройствами для проверки купюр.

Крупный производитель банкоматов NCR сообщил о массовом вбросе фальшивых банкнот номиналом пять тысяч рублей

Оценить ущерб собеседники издания затруднились, поскольку еще не все банкоматы инкассированы, но уже ясно, что речь идет о нескольких миллионах рублей убытков на банк.

По данным газеты, уязвимым банкоматам нужна перенастройка программного обеспечения, однако для этого требуется какое-то время, а до тех пор многие банки по совету NCR предпочли временно не принимать в уязвимые банкоматы пятитысячные банкноты.

Представитель Московского кредитного банка (МКБ) Андрей Стром сказал «Ведомостям», что уязвимости подверглись менее 5% их банкоматов. При этом ограничен ли прием пятитысячных купюр, он не уточнил. Альфа-банк после предупреждения NCR перестал принимать такие купюры во всех 18 банкоматах старой модели (0,5% от сети). В Сбербанке заявили, что кредитная организация не вводила никаких массовых ограничений на прием купюр в банкоматах банка.

Чтобы не стать жертвой мошенников, гражданам рекомендуется снимать крупные суммы денег в отделениях банков, а не в банкоматах.

Источники издания в банках отмечают, что найти мошенников будет очень сложно. Так как внесенные в банкомат купюры перемешиваются, и невозможно отследить, кто внес настоящие, а кто фальшивые деньги.

Ранее Центробанк опубликовал статистику по фальшивым купюрам за второй квартал 2018 года. Всего регулятор обнаружил 9415 поддельных денежных знаков, 16 из них — подделки новых банкнот номиналом в 2000 рублей.[2]

2017

Объем незаконных операций с банкоматами и терминалами сократился до 230 млн руб

Согласно статистике за 2017 год, интерес мошенников к атакам на банкоматы и терминалы снижается. Так, объем незаконных операций с ними сократился на треть до 230,7 млн рублей. А ущерб от действий мошенников составил 42 млн рублей.

По информации FinCERT, в основном используются несколько способов взлома банкоматов: подключение к аппаратам устройств, позволяющих ими управлять, удаленное управление после заражения вирусом и физическое воздействие на них (например, взрыв).

Внимание злоумышленников переключилось на CNP-транзакции (англ. Card not present transaction), при которых держатель карты физически может не присутствовать во время и в месте проведения оплаты. Объем последних несущественно (примерно на 1,5%), но вырос, составив 726,4 млн рублей.[3]

Trend Micro и Европол рассказали, как ломают банкоматы

Специалисты компании Trend Micro, а также сотрудники Европейского центра по борьбе с киберпреступностью (European Cybercrime Centre, EC3) представили совместный отчет, озаглавленный «Зарабатывая на вредоносных программах для банкоматов» (Cashing in on ATM Malware). В отчете анализируются как физические, так и сетевые виды атак на банкоматы с использованием вредоносных программ, а также рассказывается, где создают такую малварь[4][5].

По мнению исследователей, за последние годы вредоносы для банкоматов заметно эволюционировали. Так, злоумышленникам более не нужно иметь физический доступ к устройству, чтобы заразить его, они могут осуществлять удаленные сетевые атаки, используя для этого корпоративную сеть банка. В отчете приводятся примеры недавних атак, в которых злоумышленники использовали банковскую сеть для кражи денег и данных кредитных карт из банкоматов, несмотря на ее сегментацию. Исследователи отмечают, что такие атаки не только ставят под угрозу личные данные пользователей и безопасность крупных денежных сумм, но также приводят к нарушению финансовыми учреждениями стандартов безопасности PCI.

Ранее основным способом заражения банкоматов преимущественно был физический взлом: злоумышленникам необходимо было получить непосредственный доступ к устройству и загрузить на него вредоносную программу с помощью USB или CD. Несмотря на то, что эта схема используется и сегодня, злоумышленники нашли новую точку входа: сеть. Этому способствует и то, что сотни тысяч банкоматов работают на операционных системах, которые более не получают обновлений для исправления уязвимостей или для которых скоро перестанут выпускать патчи.

К примеру, в июле 2016 года кибератаке подвергся 41 банкомат в 22 отделениях тайваньского банка First Commercial Bank, в результате чего злоумышленникам удалось похитить порядка 2,5 млн долларов США (80 млн новых тайваньских долларов). В ходе проведенного расследования выяснилось, что для реализации ограбления хакеры предварительно осуществили достаточно сложную сетевую атаку.

2016

Сверло - новый инструмент банкоматных хакеров

В конце октября 2016 года заместитель председателя Сбербанка Станислав Кузнецов сообщил о новом способе кражи денег из банкоматов.

«
Преступление называется drilled box, когда просверливается дырочка в банкомате только определенной марки, подключается шина, и через эту шину выплачиваются мгновенно деньги. Производитель немедленно был проинформирован, что это легко и быстро сделать, но реакции от него не последовало, – рассказал Кузнецов, сообщает ТАСС.
»

По словам зампреда Сбербанка, тенденция использовать такой способ кражи появилась буквально четыре-пять месяцев назад. В то же время специалисты по информационной безопасности отмечают, что это уже давно известный способ мошенничества, который сочетает в себе механический и компьютерный взлом.

«
Я считаю, Сбербанк погорячился с новым термином drilled box и напрасно «встряхнул» рынок якобы каким-то новым видом угрозы. Это известная еще пару лет назад проблема, связанная с подключением к блоку управления диспенсером банкомата (устройство модуля выдачи денежных купюр) мошеннического устройства, так называемого Black Box, который минуя системный блок банкомата, дает непосредственную команду диспенсеру на выдачу денег из кассет, без каких-либо операций по картам, – пояснил TAdviser директор по мониторингу электронного бизнеса «Альфа-Банка» Алексей Голенищев.
»

Он добавил, что доступ к шине управления диспенсером можно получить не только, просверлив отверстия в панели банкомата, но и другими способами: например, вскрыв сервисную зону банкомата (открыв дверь и т.п.). Поэтому проблему нужно решать комплексно, а не от конкретного вида «атаки», считает Голенищев. «Проблема решается шифрованием данных/канала передачи данных от системного блока банкомата к диспенсеру. Такие решения есть, и их действительно стоит требовать от производителей», – пояснил он.

В компании Positive Technologies (Позитив Текнолоджиз), специализирующейся на информационной безопасности, тоже подтверждают, что такая техника не нова.

«
Первые упоминания об использовании сверл для проникновения в кабинетную зону банкомата датированы еще 2013 годом (до этого сверло просто использовали для того, чтобы заполнить банкомат газом и взорвать). Однако интерес к логическим атакам на банкоматы вновь привлек внимание злоумышленников и к этому сценарию, – говорит TAdviser руководитель отдела безопасности банковских систем компании Positive Technologies Тимур Юнусов.
»

По его словам, есть несколько самых популярных способов логических атак на банкоматы:

  • подключиться к устройству, выдающему купюры (диспенсеру), и напрямую отправить команды на выдачу денег. Последние модели банкоматов более или менее защищены от подобных атак.

  • подключиться к кардридеру и незаметно снимать карточные данные для последующего изготовления карт-дубликатов

  • использовать недостатки сетевых настроек для того, чтобы перехватывать данные, уходящие в банк. Таким образом можно как снимать карточные данные, так и заставлять банкомат выдать деньги с любой карты, даже не изменив баланс на ней.

  • подключиться к системному блоку, обойти средства защиты и установить зловреда, который будет производить те же самые манипуляции: сохранять карточные данные или выдавать деньги «по команде».

На банкоматы какого производителя жаловались в Сбербанке, в пресс-службе компании не комментируют. В других финансово-кредитных учреждениях тоже не говорят об этом. По словам источника в одном из банков, раскрывать эту информацию никому не выгодно: «Так как умельцы сразу начнут изучать банкоматы и сверлить их».

В компании Positive Technologies считают, что теоретически такое можно сделать с банкоматом любого производителя. По словам Тимура Юнусова, у любых банкоматов кабинетная зона всегда защищена очень слабо – по большому счету это обычная дверка из непрочного металла и пластика.

«
Самые популярные производители банкоматов – NCR, Diebold Nixdorf, Wincor Nixdorf. У каждого вендора найдется по 2−3 самых популярных модели. К каждой из них можно теоретически применить ту или иную атаку, все зависит от модели, настроек безопасности, недостатков конкретной сборки и человеческого фактора, – считает Тимур Юнусов.
»

Точно знать в каком месте сверлить, куда подводить провода и к чему в итоге подключаться – это своего рода нейрохирургическая операция, для которой нужна практика, считает эксперт.

Эксперты прогнозируют рост числа атак на банкоматы в РФ на 30%

Количество хакерских атак как на банки, так и на банкоматы в России вырастет на 30% в 2017 году. Такой прогноз приводится в исследовании, опубликованном специалистами компании Positive Technologies.

По данным FinCERT, в период с июня 2015 года по май 2016 года в России было зафиксировано 17 случаев, связанных с несанкционированным доступом к ПО банкомата и последующей попыткой хищения денежных средств. В ходе атак злоумышленники совершили попытки хищения денежных средств на сумму более 100 млн рублей, отметил аналитик Positive Technologies Вадим Соловьев.

Как указывается в исследовании, число логических атак на банкоматы с применением вредоносного ПО в Европе в 2016 году увеличилось на 287% по сравнению с предыдущим годом. К примеру, ущерб от краж с использованием только одной вредоносной программы GreenDispenser в странах Восточной Европы в 2015-2016 годах составил порядка $180 тыс. Как отметил Соловьев, в настоящее время не зафиксировано случав заражения банкоматов в России вредоносным ПО GreenDispenser, однако схожее устройство банкоматов позволяет злоумышленникам использовать один и тот же вредонос в кампаниях по всему миру.

В частности GreenDispenser, использовавшийся в атаках на банкоматы в Мексике в 2015 году, спустя некоторое время был замечен в странах Европы. Как пояснил Соловьев, злоумышленникам удобнее переключаться с одной страны на другие регионы, где еще не готовы к отражению подобных атак.

По словам эксперта, преступники получали доступ в сервисную зону банкомата и устанавливали вредоносное ПО GreenDispenser. Затем специальные люди, так называемые дропы, с помощью трояна снимали с банкомата деньги. Так как GreenDispenser рассчитан только на выдачу денежных средств, а не хищение данных банковских карт, на экране банкомата высвечивалось сообщение о том, что устройство временно не работает с целью предотвратить выдачу денег обычным владельцам банковских карт.

Для того чтобы снять деньги с банкомата, дроп должен был ввести два PIN-кода, установленных разработчиками трояна. После этого он получал доступ к интерфейсу управления вредоносом, где доступна функция выдачи наличных. Успешно опустошив банкомат, дроп удалял GreenDispenser из системы.

Подобные атаки могут принять массовый характер, предупреждают специалисты. При разработке финансовых приложений на платформе Microsoft Windows используется специальный стандарт Extension for Financial Services для совместимости программного обеспечения оборудования банкоматов с различными устройствами, который применяется всеми крупными производителями банкоматов.

ЦБ рассказал о беспроводном способе кражи денег через банкоматы

17 марта 2017 года в Центробанке РФ рассказали о новом способе кражи денег через банкоматы. Речь идет о дистанционном методе.

«
Мы всегда, когда говорили о скимминге, отмечали, что злоумышленник должен поставить что-то на банкомат, теперь новая технология появилась, беспроводная, — сообщает ТАСС со ссылкой на заместителя начальника главного управления безопасности и защиты информации Банка России Артем Сычев.
»

По его словам, новизна заключается в том, что злоумышленники размещают устройства не на сам банкомат, а рядом с ним, и используют оборудование для хищения средств с банковских карт. При этом защищающие банкоматы датчики движения, вскрытия и т. п. не срабатывают.

Злоумышленники научились красть деньги с банковских карт без установки оборудования на сам банкомат

Артем Сычев не пояснил, распространяется ли технология на все банкоматы или только на отдельные модели. Также он не назвал объемы средств, которые злоумышленники украли со счетов клиентов банков таким беспроводным путем.

Сычев подчеркнул, что входящий в ЦБ Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT) проинформировал банки о новом способе мошенничества.

Об изобретенном мошенниками беспроводном методе хищения средств с банковских карт через банкоматы Адней Сычев рассказал на XIX Всероссийской банковской конференции. Там же представитель Банка России заявил, что регулятор получил от Интерпола информацию о большом объеме скомпрометированных карт клиентов российских банков.[6]

Число «засвеченных» карт представитель ЦБ затруднился назвать, но отметил, что объем информации по этим картам занимает почти 500 Мбайт.

«
Скорее всего, это результат скимминга в Европе. Это карты, которые использовались при поездке за рубеж. Скорее, это Южная Европа — Болгария, Румыния и тому подобное. Информация пришла от румынских коллег, — уточнил Сычев.
»

Примечания