Уязвимое вместо: каждый четвертый банкомат может быть взломан
Каждый четвертый банкомат в России может быть уязвим. Исследователи в области ИБ изучили основные модели устройств и выяснили, что каждое второе позволяет получить доступ внутрь корпуса без срабатывания сигнализации. Чтобы затруднить доступ злоумышленников к банковскому счету, специалисты советуют потребителям пользоваться банкоматами в филиалах банков или тех местах, где есть физическая охрана и видеонаблюдение. Подробности — в материале «Известий».
Сто тысяч банкоматов
Новое исследование безопасности различных моделей устройств дистанционного банковского обслуживания (есть в распоряжении «Известий») показало, что каждый четвертый российский банкомат может быть взломан.
Специалисты RTM Group проанализировали 12 вариантов исполнения технических устройств, которые различаются по следующим параметрам: тип корпуса, наличие и прочность сейфа для денег, способ организации сигнализации, способ контроля программного обеспечения, способ взаимодействия с периферийным оборудованием — клавиатура, картридер, купюроприемник. На данные типы устройств приходится более половины банкоматов в РФ и СНГ, то есть около 100 тыс. устройств.
Эксперты RTM Group установили, что каждый второй из исследованных банкоматов позволяет получить доступ внутрь корпуса без срабатывания сигнализации.
— Такую сигнализацию дорого содержать, — объясняет CEO SafenSoft Светозар Яхонтов. — Сигнализация не просто должна истошно пищать, она должна быть подключена к пульту вневедомственной охраны Росгвардии или другой, коммерческой, службы. На пультовую охрану чаще берут объект при выполнении требований ФГУП «Защита» МВД — а там много весьма затейливых требований (дымовые и световые шашки, датчики наклона, датчики вскрытия инструментом). Считается, что это дорого — 400 тыс. рублей на 100 банкоматов на установку и 100 тыс. рублей в год на содержание и замену по сроку годности.
Следующими шагами могут стать запуск купюроприемника на выдачу всех наличных денежных средств или активация вредоносного ПО, позволяющего похитить данные клиентов (как минимум вводимые PIN-коды). Таким атакам подвержено почти 30% всех банкоматов в нашей стране.
Как добавляют в RTM Group, причина такой ситуации — повышенное внимание к физической защите банкоматов и обеспечение сетевой безопасности в ущерб защите операционной системы и чувствительной сигнализации.
— Важно отметить, что ни одна из известных нам систем, работающих в составе банкоматов, не прошла сертификацию Федеральной службы по техническому и экспортному контролю (ФСТЭК) или оценку соответствия ОУД4, как того требует Центробанк, — говорят в RTM Group. — Таким образом, банки заботятся больше о сохранности наличных денежных средств, чем о деньгах клиентов. Из-за чего банкам следует уделять больше внимания безопасности персональных данных своих клиентов, которые могут быть похищены из банкоматов без серьезных усилий.
По мнению специалистов, регуляторика ЦБ в части применения ОУД4 пока вызывает много вопросов. Банкоматы функционируют, несмотря на то что не прошли сертификацию и оценку соответствия, потому что в противном случае будет просто парализована платежная система. «Поэтому требования Банка России и санкции будут нарастать постепенно», — предполагают эксперты.
По мнению CEO SafenSoft Светозара Яхонтова, существующие сегодня на рынке средства программной защиты, имеющие сертификат ФСТЭК, зачастую неприменимы в банкоматах.
— Надо сказать, что банкомат — дорогое устройство (от 500 тыс. до нескольких миллионов рублей) и его не меняют, как компьютер, раз в три года, — говорит Светозар Яхонтов. — Банкоматы работают по 10–15 лет. Соответственно, компьютеры на таких банкоматах работают на устаревшем аппаратном обеспечении (процессор, производительность оперативной памяти и материнской платы и т.д.). И работают такие банкоматы на операционных системах Windows 7 или даже Windows XP. Другая не заработает как по причине системных требований, так и из-за отсутствия версии управляющего программного обеспечения для таких моделей банкоматов под современные версии операционных систем. ФСТЭК перестала осуществлять или сильно усложнила сертификацию программных средств защиты, работающих на устаревших версиях операционных систем Windows 7 и XP.
В ЦБ не ответили на запрос «Известий» по поводу ФСТЭК.
Однако, по мнению специалистов, если Центробанк жестко потребует от банков реализовать защиту на сертифицированных ФСТЭК средствах защиты, произойдет следующее: сначала банки потратятся на такие средства защиты, потом будут пытаться их как-то внедрить и получат сомнительный результат. Старой работающей защиты уже нет, а новой — еще нет.
— Затем выключат установленную на банкоматы защиту (чтобы банкоматы работали и не сбоили), оставив на нескольких устройствах включенной частично для прохождения проверок.
Впрочем, председатель правления Реалист Банка Владимир Эльманин уточняет, что каждый банкомат индивидуален как по составу, так и по техническому оснащению. Соответственно, у каждой модели свой уровень уязвимости, но у всех банков существует стандарт PCI DSS, который включает большой комплекс мероприятий для защиты.
Старший специалист департамента анализа защищенности Digital Security Вадим Шелест подчеркивает, что в настоящее время никакая сертификация не сможет гарантировать стопроцентную безопасность подобных устройств. Она не покрывает всю поверхность атаки и не рассматривает каждое конкретное устройство как отдельный компонент финансовой инфраструктуры конкретного банка. Кроме того, не включает в себя проверку требований необходимости правильной настройки и конфигурации взаимодействия различных компонентов этой инфраструктуры.
— В качестве дополнительных мер по обеспечению безопасности мы рекомендуем регулярное проведение технического аудита или пентеста защищенности банкоматов, именно в контексте интеграции и взаимодействия с другими компонентами финансовой инфраструктуры каждого конкретного банка, — отмечает эксперт.
Атака на канал взаимодействия
Замгендиректора ЗАО «ОКБ САПР» Светлана Конявская указывает на способы атак на банкоматы и ряд уязвимостей. Первый — это атака на канал взаимодействия с процессинговым центром. Она может быть реализована примерно так: вставляется любая карточка, вводится любой PIN, из процессингового центра приходит сигнал отказа в авторизации, но он подменяется сигналом успешной авторизации. При этом злоумышленнику достаточно иметь возможность вмешаться в работу канала, изменять логику работы банкомата необходимости нет.
Второй — это атака имитацией сигнала на выдачу денег. Команда на выдачу денег, которую исполняет диспенсер, формируется компьютером банкомата. А почему бы тогда злоумышленнику не использовать другой компьютер? Например, принести с собой ноутбук, отключить USB-кабель диспенсера от компьютера банкомата, подключить его к принесенному ноутбуку и подавать команды на выдачу наличных. Естественно, диспенсер выполнит команду, если ее подать в нужном формате.
Далее нужно говорить об атаке имитацией сигнала на прием денег. Можно смоделировать следующую несложную, но очень опасную атаку: предположим, клиент вносит 100 рублей, а действиями закладки на его счет заносится значительно большая сумма, например 100 тыс. рублей.
Наконец, это сбор критичной информации пользователей. Если вредоносная программа внедрена, то что может помешать ей запомнить все номера карт и PIN в один день и все запросы на выдачу денег повторить в другое время по внешней команде — например, по предъявлении какой-то конкретной карты? Или просто передать эту информацию злоумышленникам?
— Надо защитить каналы с помощью средств криптографической защиты информации (СКЗИ) высоких классов — как от процессингового центра к компьютеру, так и от компьютера к диспенсеру — и обеспечить целостность программно-аппаратной среды компьютера, — рассуждает Светлана Конявская.
Руководитель отдела анализа защищенности приложений Positive Technologies Максим Костиков отмечает: чтобы взломов не происходило, необходимо проводить комплексный анализ защищенности банкоматов. В первую очередь необходим анализ логических уязвимостей — проверка средств защиты против злоумышленника, который, получив доступ к сервисной зоне, может обойти или нарушить действия средств защиты банкомата и установить (либо модифицировать) программное обеспечение (ПО). Это может привести к краже конфиденциальных данных или выдаче денежных средств.
Затем важен анализ сетевых соединений банкомата — проверка средств защиты банкомата от атаки из интернета (если банкомат к нему подключен) и проверка возможности злоумышленника перехватить или повлиять на сетевое общение банкомата. Наконец, необходим и анализ защищенности периферийных устройств — проверка безопасности ПО, с помощью которого ОС взаимодействует с периферийными устройствами (пинпад, устройство внесения и выдачи денег —диспенсер — и т. д.), подчеркивает Костиков.
По словам руководителя департамента противодействия мошенничеству центра прикладных систем безопасности компании «Инфосистемы Джет» Алексея Сизова, физическая защита банкоматов сводится к классическим пунктам: максимально усложнить вскрытие или вывоз устройства и оснастить средствами тревожной сигнализации, регистрирующими попытки вскрытия или перемещения. Эта комбинация позволяет правоохранительным органам или частным охранным предприятиям прибыть на место преступления до момента исчезновения злоумышленников.
Специалисты Group-IB отмечают, что за последние несколько лет инциденты с логическим взломом банкоматов практически прекратились (например, исчезли целевые атаки на банки с выводом денег через сеть ATM), уступив место физическому воздействию. Банкоматы взрывают, выдергивают тросами из отделений, пытаются внести на счет фальшивые купюры. Наибольшую опасность для банкоматов представляет несвоевременная установка обновлений комплекса программного обеспечения, обеспечивающего работу конкретного банкомата и функционирование сетей устройств.
Руководитель направления «Расследование компьютерных преступлений» FBK CyberSecurity Игорь Собецкий добавляет, что с уходом из России ряда фирм, осуществлявших поддержку банкоматов, в них перестали обновляться специальное ПО и операционные системы, возникли проблемы с настройкой детекторов подлинности купюр. Это привело, во-первых, к отказу банкоматов некоторых банков в приеме купюр нового образца, а во-вторых, к возможности инкассации «муляжей денег».
— Это сразу дало всплеск мошенничеств, связанных с внесением на счета «дропперов» денежных средств через инкассацию банкоматом «муляжей» с последующим съемом с этих счетов реальных средств, — говорит Игорь Собецкий. — Наиболее опасны для клиентов банкоматы, функционирующие в так называемом рециркуляционном режиме. В этих банкоматах внесенные клиентами средства попадают в кассеты рециркуляции денежных средств, после чего могут быть выданы другим клиентам. Никакой проверки кассиром-человеком эти купюры не проходят, поэтому в таком банкомате можно вместо настоящих денег получить билеты «банка приколов». Тем не менее банки охотно ставят такие банкоматы, поскольку их можно реже инкассировать. Полный список рециркуляционных банкоматов можно найти на сайте Центрального банка РФ.
В связи с печальной статистикой председатель правления «Реалист Банка» Владимир Эльманин напоминает, что потребителям следует разумно подходить к использованию банкоматов: не сообщать PIN от карты третьим лицам, для снятия крупных сумм по возможности использовать банкоматы в отделениях банков, где есть видеофиксация и физическая охрана, а также подключить SMS-информирование о совершенных операциях по карте.