Банкоматы ломают не только кувалдой

Заставить банкомат плеваться деньгами по своей воле, без "внушений" и без взрывчатки - сегодня это возможно. Мы вступили в век информационных технологий. И он оказался весьма приятным для злоумышленников - не обязательно даже технически подкованных.

Речь не о скиммерах, которые, по сути, внешняя железка и никак с банкоматами не взаимодействуют. Речь о самых, что ни на есть информационных способах воздействия.

А внутри у ней неонка

Чего только раньше не делали с банкоматами злоумышленники. Вывозили на тележках, выносили на руках, вырывали из креплений грузовиками, доставали погрузчиками и вскрывали на месте - всё ради денег, конечно же.

Преступники вынуждены были преодолевать много сложностей. Например, чтобы увозимый в гараж банкомат не отследили, кузов машины приходилось экранировать,  или засовывать сам банкомат в клетку Фарадея. Порой и уехать с добычей было слишком сложно - всего год назад в США похитителя банкомата задержали на парковке, где он застрял вместе с банкоматом. Современным жуликам уже не нужно так конфузиться.

Дело в том, что банкомат - это, по сути, самый обычный компьютер в не самой обычной упаковке и с внешним оборудованием. Причём компьютер, до недавнего времени работающий в подавляющем большинстве случаев на Windows XP - даже не всегда на Windows XP Embedded. Напомним, поддержка Windows XP прекратилась в 2014.

Но даже не в этом дело. А в том, что банкоматы, будучи системой замкнутой и автоматизированной, очень редко подвергаются вниманию со стороны людей, пока работают. Обновления, соответственно, тоже редко когда до них доходят. Вдруг что поломается? Будем откровенны, апдейты от Microsoft далеко не всегда безопасны - а ведь любой даунтайм у работающей с деньгами машины - это потери. Так что интересы бизнеса превалируют над интересами безопасности - пока не случится проблема.

Карточный фокус

Ещё одно неожиданное последствие проникновения информационных технологий в повседневный мир - выведение из строя кассовых аппаратов, платежных терминалов и т.п. с помощью вирусов-шифровальщиков. Прогремевшие недавно на весь мир WannaCry и NotPetya без особых проблем заражали, в том числе, локальные сети торговых центров и магазинов, хотя совершенно не были на них нацелены.

Таковы побочные эффекты невнимания к безопасности и поддержанию Даже если отвалится на день только возможность принимать безнал, сеть понесет ощутимые потери.  И мошенники отлично это понимают, шантажируя своих жертв.

И всё-таки случайные заражения троянами-"самоходами" - не более чем небольшая головная боль для жертв и случайный доход для киберпреступников. Основные нелегальные прибыли тут происходят из двух источников: превращения обычных терминалов в софтверные скиммеры и убеждения устройств ДБО (дистанционного банковского обслуживания) с отсеком для наличных денег делиться с "мулами", как называют на своём сленге киберпреступники исполнителей "потрошения" банкоматов.

Чёрный рынок давно перестал напоминать базар

Редкий киберпреступник пойдёт самостоятельно собирать из заражённого устройства свои миллионы. Зачем? Ведь услуги своеобразного денежного курьера, который заберёт для него деньги, легко можно купить на подпольном рынке. Часть прибыли потеряется, но безопасность - важнее, ведь всевозможные камеры зарегистрируют именно этого самого "мула". Да и на заказчика он вряд ли сможет указать, если общался с ним через шифрованные и анонимные каналы.

Даже тем, что эти "мулы" украдут слишком много денег и не донесут до заказчика, уже никто не рискует. Вредоносное ПО обычно имеет какой-нибудь механизм верификации, и "мул" снимет лишь столько денег, сколько ему разрешит оператор.

Современная киберпреступность давно перестала напоминать хаотичные бандитские разборки. Она представляет из себя конгломерат предприятий, оказывающих друг другу разнообразные услуги. Одна команда разрабатывает троян, другая покупает или арендует его и занимается непосредственным внедрением в целевые устройства. Третья - выполняет заказ второй и собирает наличность с заражённых устройств, рискуя лишь исполнителями в самом низу этой пищевой цепочки.

И если вы заинтересуетесь каким-нибудь конкретным трояном под конкретного производителя банкоматов, то вам без проблем организуют самую настоящую презентацию. Например, через TeamViewer покажут работу программного обеспечения на эмуляторе, пообещают "только сегодня, только сейчас, если купите, пока идёт презентация", и какой-нибудь бонус, например, набор стандартных ключей для компьютерного отсека банкоматов известных производителей или сниффер трафика для тренировок "на кошках".

Делиться - это не всегда хорошо

Впрочем, это всё о сборе наличных из заражённых устройств. Возвращаясь к теме сбора информации, заражённое устройство можно превратить в скиммер, как это произошло буквально в 2016 с крупной сетью Wendy's.

Чипованные карты остались в относительной безопасности, а вот обычные (которых, кстати, в той же Северной Америке ещё ой как много) с удовольствием делились всеми своими данными за одну "проводку" безо всякого на то согласия или желания как покупателя, так и продавца. А копии обычных карт с магнитными полосами делаются без малейших проблем любым человеком с минимальным доступом к информации и деньгам.

Тонус безопасности

В общем, проблем в наше время у операторов устройств ДБО немало. Больше, по крайней мере, чем 20 лет назад. Теперь защищаться нужно не только от парней с пикапом и тросом, но и от преступных синдикатов. Которым ничего не стоит, скажем, в Латинской Америке создать компанию по разработке вредоносного ПО для банкоматов, разработчиками в которой будут русские программисты, а клиентами - злоумышленники со всего мира.

Решения, как всегда, очевидны, но скучны

Все операции по взаимодействию с устройствами ДБО в какой-то момент требуют проникновения в периметр безопасности. Будь то внедрение ПО через уязвимый физический порт, работа инсайдера или сетевая атака. Чем быстрее оно будет замечено - тем выше шанс и атаку отразить, и киберпреступника поймать.

Кирилл Кожевников
Автор блога АйТи

Вам понравилось? Поставьте лайк и подпишитесь на новые статьи!