Ключи от банкоматов

Апрель стал месяцем, в котором резко участились случаи атак злоумышленников на банкоматные устройства, чтобы похитить средства. Если в прошлом году, как указано в данных ЦБ, удалось зафиксировать 21 такой случай, то за один только апрель т.г. у правоохранителей появилась информация почти о 10 атаках. Злоумышленники работают по проверенной схеме, поставит этот процесс на поток, в чем им помогают привлекаемые низкоквалифицированные сообщники. ЦБ про массовые атаки на банкоматы или не знает, либо предпочитает не тревожить рынок. По мнению банкиров, для них критически важно знать о нюансах этих атак, чтобы организовать эффективную защиту.

Об активизации в апреле злоумышленников, похищающих средства из банкоматов и использующих при этом технологию BlackBox, стало известно от источников в правоохранительных структурах. По словам ведущего антивирусного эксперта "Лаборатории Касперского" Сергея Голованова, в основе технологии BlackBox - подключение стороннего устройства к диспенсеру — устройству, выдающему деньги. Подключается такое устройство или через просверленное в банкомате отверстие, или используются ключи инженеров, способные открыть сервисную часть банкомата для доступа к компьютеру.

В апреле подобного рода атаки на банкоматы совершаются через день, "следы" злоумышленников обнаружены в Москве и Подмосковье. В среднем за одно хищение преступники крадут 2–5 млн руб., помощь от правоохранительных органов ждут уже три, обратившихся к ним банка.

Если сравнить эти данные и официальную статистику ЦБ, ведущуюся специализированным подразделением по кибербезопасности ФинЦЕРТ, то появляется ряд серьезных вопросов. К примеру, за весь прошлый год, по данным ФинЦЕРТ, банки поставили в известность только о 21 инциденте, когда преступники покушались на деньги из банкоматов. А у правоохранителей только за апрель есть информация примерно о десятке атак.

Сами по себе устройства BlackBox далеко не новы, но у апрельских атак есть свои особенности. Как сказал Сергей Голованов, сейчас между тем, как установить оборудование и выдать деньги может пройти как несколько часов, так и несколько дней. По словам заместителя директора исследовательского центра Digital Securuty Романа Бажина, такие атаки - явление нетипичное. Как правило, их производят за один прием и на это уходит максимум пять минут, и больше всего времени нужно на то, чтобы получить купюры из диспенсера.

По мнению экспертов, атаки интересны и тем, что в нашем случае это явно работа хакеров на подряде. Иными словами злоумышленники с опытом обучают тех, кто хочет похищать средства из банкоматов, за что первые получают неплохой процент, конечно, если операция проходит успешно. По словам старшего эксперта отдела исследования безопасности банковских систем Positive Technologies Ярослава Бабина, мошенники остановились на схемах, успешно масштабируемых и легкодоступных.

Причем ФинЦЕРТ, как говорят участники рынка, не поставил их в известность об апрельских инцидентах. От ЦБ поступало предупреждение о возможном увеличении количества атак на банкоматы во время грядущего Чемпионата мира по футболу, в феврале он рекомендовал повысить безопасность банкоматов, что и было выполнено. Но сейчас рассылки от ФинЦЕРТ не приходили. По словам представителя банка из топ-20, было бы неплохо знать, какая уязвимость эксплуатируется злоумышленниками, выбрана какая-то конкретная модель банкомата, или машины, имеющие определенное программное обеспечение?

Банк России подтвердил отсутствие рассылок ФинЦЕРТ по последним атакам, пояснив, что это не появление какого-то нового вида атак. Понятно, что если будут обнаружены новые параметры атак и специфические характеристики используемых зловредов, ФинЦЕРТ обязательно проинформирует о них участников информобмена. Проблема в том, что регулятор может не знать все подробности — банки не обязаны уведомлять ЦБ о подобных атаках: по словам экспертов, физическое воздействие на банкоматное устройство не связано с проведение денежного перевода, в итоге банки могут не включить эти сведения в свою отчетность.

Пока продолжается молчание регулятора, эксперты озвучивают свои варианты защиты от атак на банкоматы. Как считает руководитель направления по борьбе с мошенничеством «Инфосистемы Джет» Алексей Сизов, наличие сигнализации на банкомате и контроля подключения устройств и целостности информации — защищают достаточно надежно. По словам Сергея Голованова, надежный и дорогостоящий способ защиты от таких атак представлен шифрованием и передачей данных от компьютера в банкомате к диспенсеру. Хотя, как считает Роман Бажин, 100% гарантия все равно отсутствует — надлежащую защиту можно обеспечить, располагая подробной информацией по атакам и эксплуатируемым уязвимостям.