Эксперты утверждают, что вирус, поражающий банкоматы, существует, но он еще не страшный.
Кризис — как весна. Стоит ему прийти, и, словно буйные сорняки, появляются мошенники, о которых прежде даже не думали. В марте российское банковское сообщество было потрясено известием о «трояне», поражающем банкоматы. По данным прессы, эта вредоносная программа способна передать злоумышленнику все данные о картах пользователей и их пин-кодах, а также выдать ему всю имеющуюся в банкомате наличность. Поражала предполагаемая цена защиты от новой угрозы — 1,25 млрд рублей.
Сведения о программе, заражающей банкоматы, распространила компания «Доктор Веб», производящая антивирусное ПО и конкурирующая на этом рынке с «Лабораторией Касперского». В ее сообщении говорилось, что «уникальность обнаруженного вируса состоит в его способности перехватывать данные о банковских картах пользователей», что позволяет снимать с карточных счетов все имеющиеся на них деньги. Причем, утверждалось в сообщении, вирус заражает только банкоматы, производящиеся американской фирмой Diebold.
Для самой фирмы Diebold и ее клиентов сообщение о вирусе было далеко не новым. Вредоносная программа была выявлена в самом конце декабря, а в январе уже началось тестирование всех банкоматов этой фирмы, установленных в банках.
Эксперты компании отмечают, что термин «вирус» к данной ситуации не подходит, так как он не может распространяться самостоятельно. Было неопровержимо доказано: банкоматы заражаются только через персонал, обслуживающий эти устройства, а сама программа не передается по сетям. Как утверждает системный инженер представительства компании Diebold в России Иван Стригин, «мы имели дело с вредоносным ПО, которое не передается по сети. Для того чтобы его внедрить, мошенники должны были иметь физический доступ к начинке конкретного банкомата».
КРИМИНАЛЬНЫЕ МАСТЕРА
Взлом банкомата — всегда сложная интеллектуальная задача, которая едва ли по силам одиночке. Хотя весной 2005 года был арестован студент, который с помощью самодельных датчиков и микровидеокамер похищал данные с пластиковых карт, а потом использовал их с целью наживы. Но ущерб, который ему удалось нанести, потянул только на $60 тыс.
Действовать группой всегда выгоднее. В апреле 2003 года в Москве были задержаны студенты одного из технических вузов, которым удалось похитить около $700 тыс. Они устанавливали на банкоматы оборудование, считывающее информацию с магнитной полосы, а также с помощью видеокамер узнавали пин-коды. А затем снимали деньги со счетов с помощью поддельных карт.
Весной 2006 года о себе заявили регионы. В частности, в Пермском крае была ликвидирована группа, которая изготавливала поддельные карты и снимала средства через банкоматы. Было установлено порядка 300 преступных случаев на сумму 2,5 млн рублей. А в декабре 2006 года банку ВТБ24 впервые в России понадобилось осуществить перевыпуск карт, данные о которых могли попасть к мошенникам. По данным Ассоциации региональных банков России, в 2008 году потери, связанные с мошенничеством на рынке платежных карт, выросли в три раза и составили около 1 млрд рублей.
Поэтому производители банкоматов, как правило, стараются иметь план экстренных действий при появлении новой угрозы для матов. Что касается компании Diebold, о появлении «трояна» были проинформированы все клиенты, банкам была предоставлена специально разработанная «заплатка» к программному обеспечению, препятствующая внедрению вируса в банкомат, а также подробная инструкция по безопасности. Хотя, как утверждает Иван Стригин, «были зафиксированы единичные случаи заражения конкретных банкоматов, а случаев получения доступа к базам данных о банковских клиентах не зафиксировано».
«ФОРТОЧКИ» ПРОТИВ «ПОЛУОСИ»
Громко об уязвимости банкоматов перед вирусами и хакерскими атаками начали говорить еще в 2004 году, когда начался массовый перевод банкоматов с OS/2 на Windows. Победили в конечном счете сторонники Windows, и с тех пор растет число инцидентов, когда вирусы успешно блокируют крупные сети банкоматов под управлением этой операционной системы. Так, в 2003 году вирус Slammer парализовал 13 тыс. банкоматов Bank of America и все банкоматы канадского Imperial Bank of Commerce. В том же году появился червь Worm.Win32.Welchia, который сначала выводил из строя систему банковской защиты от внешних вторжений, а затем и вовсе отключал банкоматы.
Но случай с «троянской» программой заставил производителей банковского оборудования начать серьезный пересмотр почти всех аспектов своей работы, так как для его написания требовалось доскональное знание не только «железа», но и недокументированных функций ПО.
«Преступная группировка, которая писала программу, имела в своем распоряжении банкомат конкретного производителя, очень хорошо разбиралась в структуре программного обеспечения и имела в своем распоряжении персонал, с помощью которого программа ставилась на банкоматы, — уверен директор по продажам банковского департамента компании „Винкор-Никс-дорф“ Сергей Солдатов. — Эта программа работает только на банкоматах определенного производителя с программным обеспечением только этого производителя».
Это подтверждают и другие эксперты. В частности, Денис Зенкин из Perimetrix утверждает, что автор кода должен иметь детальное представление об операционный системе, а тот факт, что код может работать не только с долларовыми и рублевыми, но и счетами в гривнах, говорит, что программа создавалась неподалеку — в России или на Украине. Александр Гостев из «Лаборатории Касперского» считает, что для написания «трояна» его автору был необходим постоянный доступ к банкомату для тестирования.
Из всего этого можно сделать вывод, что группа, создавшая вирус, имеет в своем составе программистов, не только хорошо знающих как «железо», так и программное обеспечение конкретных моделей банкоматов, но и имеющих постоянный доступ к этой технике. И надо думать, что до тех пор, пока группа не обезврежена, можно ожидать появления новых версий «троянской» программы с возможностями, которые превратят работу банковских служб безопасности в сплошной кошмар.
ПРЕДУПРЕЖДЕН — ЗНАЧИТ ЗАЩИЩЕН?
Производители оборудования утверждают, что имеющиеся сегодня средства, как организационные, так и программные, дают надежную гарантию от возникшей опасности. Во-первых, банковским службам безопасности следует тщательно отбирать и проверять персонал, допущенный к банкоматам, чаще менять пароли, выключать ненужные порты и медийные устройства.
Есть и специальные программы, которые отслеживают состояние банкоматов и программного обеспечения. В частности, Wincor Nixdorf предлагает ставить на банкоматы своего производства агента PSA — Platform Security Agent. Эта программа следит за целостностью ПО и сообщает в службу безопасности обо всех изменениях. Есть также собственная разработка Agent One, которая защищает не только ПО, но и сам компьютер от проникновения вредоносных программ. Компания Diebold выпустила комплексное решение по защите целостности ПО банкоматов — ATM Security Office 11.0, разработанное на основе Symantec Endpoint Protection 11.0.
Несмотря на естественные преимущества, которые имеют производители банкоматов, в борьбу с появившимся вирусом вступили софтверные и другие игроки. Свои банкомат-ные антивирусы предлагают McAfee, Trend Micro. Компания S. N. Safe&Software готовит релиз нового решения на основе технологий поведенческого анализа и разграничения системных привилегий.
Но, как утверждает генеральный директор ООО «Винкор-Никсдорф» Виталий Постолатий, «задачу надо решать в комплексе, реализовы-вать план действий на 3-х уровнях: программном, аппаратном и организационном и в прямом контакте между банком и производителем решения. В этом случае банк получит своевременные и наиболее компетентные рекомендации». Поэтому 1,25 млрд рублей, в которые оценивают защиту от «трояна», по-видимому, достанутся производителям банкоматов. Если, конечно, в эту цифру можно верить.
Автор: Игорь Пономарев
Национальный банковский журнал
