Потрошители банкоматов в ожидании праздников

Перед периодом долгих новогодних праздников банки и банкоматы становятся наиболее уязвимы для мошеннических посягательств. От ЦБ банкам уже разослано предупреждение о возможных атаках на банкоматы посредством писем-фальшивок от имени банков и органов власти, что не требует физического участия.

По словам специалистов компании Group-IB и «Лаборатории Касперского», крупнейшие банки страны накануне Нового года могут столкнуться с масштабными кибератаками. В канун праздников банкоматы заполняются деньгами, а внимание к безопасности у банковских сотрудников, наоборот, снижается. К возможным организаторам атак на банкоматы, по мнению Group-IB, предотвращающая и расследующая киберпреступления, относится международная группировка Cobalt, имеющая российские корни.

Преступная сеть Cobalt ведет свои атаки с июня 2016 года. Преступники предпочитают грабить банкоматы, не применяя физическое воздействие, посредством проникновения в локальную сеть банка для получения полного контроля над устройствами. Когда поступает удаленная команда, машинами осуществляется выдача наличности, а люди, заранее подготовившись, попросту берут деньги и складывают их в сумки или рюкзаки. В этом году злоумышленниками уже были атакованы банки России, Нидерландов, Румынии, Малайзии, Белоруссии, Польше, Великобритании, Эстонии, Болгарии, Армении и других стран

По информации Group-IB, для проникновения во внутреннюю сеть банка, преступники точечно отправляют в банки электронные письма, содержащие вредоносные вложения. Рассылка фишинговых писем осуществляется от имени ЕЦБ, компании Wincor Nixdorf, производящей банкоматы или региональных банков. Но в действительности письма направляются с 2-х серверов с программой, которая изменяет адрес отправителя, при этом ни ЕЦБ, ни кто-либо другой ни малейшим образом не участвуют в такого рода рассылках.

По информации Group-IB, местонахождение серверов, с которых осуществлялась рассылка писем - Россия. В частности, для того, чтобы распространять вредоносные программы по банкам в русскоговорящей среде, преступники пользовались вложениями, содержащими названия «Договор_хранения2016.zip» и «Список документов.doc».

Как только сотрудник банка запускал файл из фишингового письма, начиналась загрузка вредоносного вложения в оперативную память компьютера. А, значит, как только ОС перезагружалась, атакующие лишались контроля над этим компьютером. Для «выживания», приложение в автоматическом режиме прописывалось в автозагрузку. А потом при помощи самых разных способов, преступникам открывался доступ к паролям администраторов банковской системы. На все это могло уходить от нескольких минут до недели. Но потом атакующим обеспечивался удаленный доступ к локальной сети банка с привилегиями, позволяющими им делать все необходимое, чтобы потом красть деньги из банкоматов. Им нужно было только «закрепиться» и осуществить наладку резервных каналов доступа на случай, если вызывающую подозрение активность заметит служба безопасности банка.

Располагая доступом к управлению банкоматами, преступники приходили к банкоматам в разных концах города, имея только мобильный телефон. И спустя минуты банкомат начинал порционную выдачу денег. Потом производилась перезагрузка пустого банкомата. По сведениям Group-IB, деньги снимали группы из нескольких человек, переходивших к заранее выбранным банкоматам и снимавших деньги за несколько часов.

Компания прогнозирует, что в скором времени Cobalt активизируется в России опять. По словам менеджера по развитию международного бизнеса Group-IB Виктора Ивановского, месяц назад группировка уже приступила к многочисленным рассылкам фишинговых писем с вредоносными вложениями в российские банки. Похоже, они начали подготовку к предновогодним ограблениям банкоматов — это время идеально для краж, так как устройства к праздникам полностью заполняются деньгами. И мы уверены, что российские банки должны позаботиться о повышении уровня бдительности и быть готовыми к отражению возможных атак.

По мнению эксперта, угроза атаки в первую очередь относится к крупным банкам, имеющим разветвленную сеть банкоматов. Злоумышленники обратят внимание на банки, техническая защита которых слаба.

По прогнозу Ивановского, в будущем внимание грабителей будет сосредоточиваться на формате краж, они будут стараться минимизировать воздействие на банкоматы для проникновения в локальную сеть банка. В перспективе — это одновременная кража денег из 30–100 банкоматов.

Предновогодняя активность злоумышленников ожидается и Банком России. По словам представителя ЦБ, высока вероятность того, что усилятся различные виды атак (в т.ч. информ-рассылки, негативные и провокационный публикации в соцсетях, DDOS-атаки, рассылки вредоносного ПО и т.д.) уже в декабре.

Банкиры заверяют в своей готовности к предпраздничным атакам на банкоматы. В ВТБ24 прекрасно понимают, что уязвимости есть, поэтому банк уже принял ряд необходимых мер, призванных защитить его устройства.

По словам представителей пресс-службы «ФК Открытие», банк знает о работе Cobalt, но все письма, содержащие зараженные вложения, приходящие сотрудникам, пресекаются почтовыми фильтрами.

По словам директора по карточным технологиям банка Александра Петрова, ПСБ уже был атакован, им известен метод Cobalt. Но в ходе работы разноуровневых защитных средств инфраструктура банка была сохранена.

Сбербанк не комментирует ситуацию.