Главная страница  Карта сайта    
Все о Ваших финансах: последние новости из мира личных и корпоративных финансов, котировки в режиме он-лайн, базы данных по тарифам и условиям обслуживания в банках, страховых, брокерских, управляющих компаниях. Данные о паевых инвестиционных и негосударственных пенсионных фондах.
Проект Агентства финансовой информации m3media 
 Финансовые организации   Финансовые услуги 
 Финансовые вопросы   Библиотека 
Статьи

 

 Четверг 19 марта 2009 г., 16:45 мск

Вирусы пробрались в банкоматы

Пока только в России


Олег Никульшин, Семён Дальний

Сообщением о появлении компьютерных вирусов сегодня мало кого удивишь. Каждый, кто хоть мало-мальски знаком с компьютером, знает, если на компьютере не установлено специализированное антивирусное программное обеспечение, то можно быть уверенным, что рано или поздно на нём появятся какие-то вредоносные программы. Вариантов «подцепить» такой вирус достаточно много — это и чужие носители информации, и диски с «пиратским» софтом, и многочисленный спам, приходящий по электронной почте, даже простое посещение заражённого интернет-сайта может привести к тому, что у вас компьютере может появиться целый рассадник вирусов.

На заре появления персональных компьютеров фантазия вирусописателей ограничивалась лишь «мелкими пакостями», вроде сообщения на экране о том, что компьютер взломан такой-то командой хакеров. В худшем случае владельца заражённой машины могло ожидать форматирование жёсткого диска с потерей всех записанных на нём данных. Со временем ситуация изменилась и авторы вирусов отошли от такого мелкого компьютерного хулиганства. Сегодня создатели вирусов занимаются вещами посерьезнее — созданием сетей из заражённых компьютеров, которые используются для рассылки спама, или организации атак на веб-сайты, почтовые серверы и т. д., а также для несанкционированного доступа к различным финансовым сервисам, будь то банковские карты или системы электронных денег вроде Webmoney, Yandex.Деньги или PayPal.

С развитием компьютерных технологий в число жертв вирусов попали не только компьютеры, но даже смартфоны. И на этом фоне удивительно практически полное отсутствие информации о вирусах, нацеленных на банкоматы.

В принципе, банкоматы уже становились жертвами вирусов. Так ещё в 2003 году сеть из около 13 000 банкоматов Bank of America на время прекратила работу из-за вируса Slammer. Данный вирус, относящийся к категории «сетевых червей», использовал ошибку в программном обеспечении Microsoft SQL Server 2000, вследствие чего в бесконечном цикле мог пересылать свой код в компьютерной сети от одной машины к другой,  создавая тем самым большую нагрузку на всю сеть. В результате деятельности такого вируса работа всей сети сначала замедлялась, а впоследствии и полностью могла остановиться. Жертвой подобных вирусов впоследствии стал целый ряд банкоматных сетей различных банков, но кроме блокирования работы банкоматов такие вирусы никаких других неудобств, а тем более потерь для держателей карточек не приносили.

Но на этой неделе ситуация изменилась — стало известно, пожалуй, о первом случае обнаружения вируса, который был нацелен уже непосредственно на банкоматы, и при помощи которого предположительно могли собираться данные о номерах и PIN-кодах карт, использовавшихся в заражённых банкоматах.

Об этом стало известно от специалиста компании Sophos, занимающейся защитой информации, разработкой антивирусного программного обеспечения.  Ваня Свайсер (Vanja Svajcer), — так зовут эксперта, сообщил в корпоративном блоге о том, что, проанализировав базу вирусов, он обнаружил в ней несколько программ, которые, как предполагает Свайсер, написаны специально для работы с банкоматами марки Diebold.

Как пишет Свайсер в блоге Sophos, поиском «банкоматных» вирусов он занялся после того, как один из его знакомых, работающих в банке, сообщил ему о слухах, согласно которым в России были обнаружены банкоматы, заражённые вирусом, позволяющим перехватывать данные о карточках пользователей и выдающим эти данные мошенникам.

В России на долю Diebold приходится по различным оценкам до 30% от числа всех установленных банкоматов, устройства этого производителя используются многими банками, в том числе «Росбанком», «Бинбанком», банком «Петтрокоммерц», «Мастер-Банком», есть банкоматы Diebold и в сети некоторых территориальных банков Сбербанка РФ, и именно поэтому агентство «М3-медиа» решило провести небольшое расследование этого инцидента.

Эксперты, к которым мы обратились, подтвердили принципиальную возможность заражения банкомата вирусом. «Банкомат управляется компьютером, и, следуя простой житейской логике, такой компьютер может быть подвержен заражению вирусами», — рассказал Андрей Соболев до недавнего времени возглавлявший Управление банковских карт Сберегательного банка РФ. Действительно, в первом приближении банкомат представляет собой автоматизированный сейф, работой которого управляется обычным компьютером, на котором может быть установлена обычная операционная система. В частности, в сообщении Sophos говорится о вирусе для банкоматов, работающих под ОС Windows. Нужно отметить, что банкоматы Diebold изначально работали под другой операционной системой — OS/2, разработанной компанией IBM, но когда в начале 2000-ных годов появилась информация о том, что IBM больше не намерена поддерживать данную ОС, Diebold перевела свои банкоматы на продукт Microsoft.

В отличие от обычных персональных компьютеров остальное программное обеспечение банкомата — специализированное и поставляется самим производителем. В случаях банкоматов Diebold — это программное обеспечение  Diebold Agilis. Наверное, не нужно говорить, что создать вирус для такого специализированного ПО сможет далеко не каждый программист, а только тот, кто очень хорошо знаком с логикой работы и структурой кода.

Вирус, который обнаружили в Sophos, был прислан через специализированный сайт VirusTotal, где каждый желающий может анонимно отправить на проверку подозрительные программы. По информации ещё одного специалиста Sophos Грэхама Клули (Graham Cluley), данный вирус появился в базе Sophos на прошлой неделе. Обнаружено было 3 варианта кода, направленных, как предполагают специалисты, на взлом банкоматов Diebold. Самый ранний из вариантов они датируют ноябрём 2008 года.

Информация о том, что случаи заражения банкоматов вирусами были зафиксированы в России, стало известно от самой компании Diebold, которая в январе 2009-го разослала всем своим клиентам-банкам, причём не только в России, соответствующее сообщение. Более того, в сообщении компании говорилось даже о задержании людей, подозреваемых в причастности к этому инциденту.

О том, как работает вирус, информации немного. В оказавшихся доступными сообщениях Diebold об этом практически ничего не говориться. По мнению специалистов из Sophos данный вирус мог перехватывать данные о карточках — в нём обнаружено обращение к карт-ридеру, а также отслеживать транзакции в рублях, украинских гривнах и долларах США. Кроме того, в коде обнаружено обращение к принтеру банкомата, при помощи которого злоумышленники могли распечатывать собранную информацию. Также в корпоративном блоге Свайсер пишет, что он практически уверен, что данный вирус способен перехватывать PIN-коды, вводимые пользователями с клавиатуры банкомата. По мнению экспертов, к которым мы обратились за комментариями, последнее утверждение достаточно спорно, поскольку большая часть поставлявшихся банкоматов Diebold серии Opteva была укомплектована специальной клавиатурой, непосредственно в которой происходит шифрование PIN-кода, так что в дальнейшем он передаётся даже внутри банкомата в зашифрованном виде. Поэтому, для того, чтобы использовать такой PIN-код, такой вирус должен ещё произвести ещё и его дешифровку, что с технической точки зрения представляет не такую уж простую задачу, и требует знания алгоритма шифрования кода, зашитого в клавиатуре.

Аналогичный вирус обнаружили и специалисты российской компании «Доктор Веб» — разработчика антивирусного программного обеспечения под маркой Dr. Web. «По классификации Dr. Web эта программа относится к типу Trojan.Skimer и предназначается для сбора информации о кредитных картах и PIN-кодов к ним», — сообщил руководитель отдела антивирусных разработок и исследований компании «Доктор Веб»  Сергей Комаров. «По сути своей, для того, чтобы получить номера карточек и PIN-коды, злоумышленнику достаточно подойти к банкомату, ввести код и получить на чеке распечатку с данными потенциальных жертв», — пояснил он.

В компании Diebold подтвердили о фактах заражения банкоматов. О том, что зафиксировано заражение «нескольких» устройств, сообщила в комментарии для PCWorld менеждер Diebold по взаимодействию со СМИ ДеАнн Закерофф (DeAnn Zackeroff). По словам Закерофф, этот инцидент является «взломом «низкого уровня», но те, кто это сделал, имели очень хорошие знания для того, чтобы внедрить вирус».

С представителем  Diebold согласен и Сергей Комаров из «Доктор Веб». «Как известно, банкоматы большинства банков  не связаны с всемирной паутиной, но объединены в свои собственные изолированные сети. Этот факт и то, какие приемы были использованы для написания этого троянца, позволяет предположить, что для создания и последующего заражения вирусописатели использовали сотрудника банка или сети, его обслуживающей», — предположил он.

Предположение о том, что для совершения преступления мошенники должны были иметь физический доступ к «начинке» конкретного банкомата, подтвердили и в российском офисе Diebold. «По сведениям, которыми располагает Diebold, на данный момент случаев получения доступа к сети банкоматов и базам данных банковских клиентов не зафиксировано», — сообщила директор по маркетингу московского представительства Diebold Inc Олеся Карпова.

В московском офисе Diebold заверили, что производитель банкоматов предпринял все необходимые меры для предотвращения подобных случаев. На сегодня данный инцидент, по мнению представителей производителя банкоматов, исчерпан. «Компания проинформировала <о случаях заражения вирусами банкоматов — прим. «М3-медиа»> своих клиентов, им предоставлена специальная компонента ПО и подробная инструкция по безопасности, что, по мнению Diebold, должно минимизировать подверженность банкоматов действиям злоумышленников», — сообщили в компании. Несмотря на то, что подобные случаи за пределами России не зафиксированы, данная компонента программного обеспечения доступна клиентам по всему миру. «Мы также усиленно напоминает своим клиентам о необходимости следовать таким общепринятым в индустрии нормам безопасности, как ограничение физического доступа к банкоматам, управление паролями и обновления ПО, что минимизирует риск несанкционированного доступа к банкоматам», — сообщила г-жа Карпова.

О том, сколько банкоматов оказалось заражено, а также каким банкам они принадлежали, в компании не сообщили. «Такая проблема могла возникнуть у тех организаций, в том числе и банков, которые недостаточно ответственно подходят к вопросу информационной безопасности, в данном конкретном случае — при работе с терминальными устройствами: при установке терминальных устройств не изменяют в обязательном порядке стандартные заводские административные пароли, не устанавливают видеонаблюдение, не ставят банкоматы на охрану. Именно такие устройства могут стать объектом внимания злоумышленников», — прокомментировал ситуацию старший вице-президент «Бинбанка» Алексей Колабухов. Причём, по его словам, это касается устройств любых производителей.

Опрошенные «М3-медиа» банкиры не смогли пролить свет на вопрос о пострадавших в результате данного происшествия банках. К слову сказать, представители кредитных организаций крайне неохотно распространяются на подобные темы. В Сбербанке, по словам бывшего директора Управления банковских карт Андрея Соболева, случаев заражения банкоматов вирусами за всю его практику (начиная с 1996 по 2009 год) не было. Аналогично об отсутствии вирусов в своих банкоматах нас уверили в «Бинбанке» и «Петрокоммерце». В «Росбанке», обладающим достаточно большим парком машин Diebold вопрос о вирусах предпочли оставить без ответа.

Подводя итоги, нужно сказать, что сам факт обнаружения вирусов, предназначенных для банкоматов, — закономерен. То, что между производителями банкоматов и мошенниками, пытающимися получить доступ к их содержимому или данным о пользователях, идёт постоянная гонка во взаимном  совершенствовании методов защиты и взлома, подтвердит любой производитель банкоматов.

Показательным во всей этой истории с «банкоматными» вирусами является другое. Если раньше держатель карточки, соблюдающий определённые правила безопасности, мог быть спокоен за сохранность своих средств, то после фактов вирусного заражения банкоматов одной предосторожности пользователя уже недостаточно. Действительно, если раньше и производители банкоматов и сами банкиры настойчиво советовали перед тем, как вставить карту в картоприёмник проверить, нет ли на банкомате каких-то посторонних накладок, лишних камер и т. д., то с выявлением фактов заражения банкоматов вирусами такой внешний осмотр никак не сможет защитить владельцев карточек от мошеннических действий злоумышленников, и «нормально» выглядящий внешне банкомат вполне может собирать данные о картах, которые в него попадают, чтобы потом распечатать эту информацию злоумышленнику на обычном чеке.

В такой ситуации всё уже зависит от конкретных сотрудников банков, которые вовремя должны производить обновление специализированного и антивирусного программного обеспечения, относиться с должным вниманием к безопасности паролей физического доступа и т. д.

Впрочем, угрозы держателей карточек могут поджидать не только при использовании банкоматов. Недавно, например, в Лондоне была обнаружена целая партия POS-терминалов (с использованием этих устройств производится оплата картами в торговых точках), которые собирали данные о картах и вводимых PIN-кодах, а потом при помощи встроенного GSM-модуля отправляли информацию аж в Пакистан. При этом внешне такие терминалы не имели следов какого-либо несанкционированного проникновения.

Источник: Агентство финансовой информации "М3-медиа"







Разделы www.m3m.ru по теме:



Все о банковских вкладах

Подписка на новости

E-mail:




О проекте | Услуги сервера | Реклама на сервере | Партнерская программа | Партнеры | Наши реквизиты
© 2001-2012 М3М.ру, АФИ «М3-медиа»

Все права защищены.
При перепечатке или цитировании ссылка обязательна.
E-mail: info@m3m.ru