Банковское обозрение

Сфера финансовых интересов

14.05.2018 Аналитика
Мыслить, как преступник

С точки зрения киберпреступника, банкомат — это в первую очередь полноценный компьютер



В 2017 году банкомату с функцией выдачи наличных денег, или АТМ (Automated Teller Machine), исполнилось 50 лет. Массовое распространение банкоматы начали получать во второй половине 70-х годов. Тогда же в широкий обиход вошли пластиковые карты с магнитной полосой. Сегодня миллионы людей пользуются банкоматами и терминалами для оплаты услуг и снятия наличности. Но многие ли при этом задумываются о безопасности?

С самого момента появления новых денежных машин преступники рассматривали их как потенциальный объект наживы: сейф с деньгами, стоящий практически на улице, не мог остаться без их внимания. И если раньше они активно использовали только методы физического взлома — взрывы, распилы и кражи самих банкоматов, — то за последние два года их методы сильно эволюционировали, и на первый план все чаще выходят киберпреступления. Так, по оценкам экспертов, ущерб от действий кибермошенников в России за 2017 год превысил 2,5 млрд рублей.

Сеть устройств самообслуживания лидирующего банка страны — Сбербанка — состоит из более чем 75 тыс. банкоматов и информационно-платежных терминалов, это крупнейшая сеть в Восточной Европе и одна из крупнейших в мире. Обеспечение безопасности столь крупной сети при сохранении высокого уровня клиентского сервиса — непростая и ответственная задача. Для этого необходимо следить за всеми трендами в мире киберпреступности, оперативно реагировать и защищать себя и своих клиентов наиболее передовыми методами.

Скимминг

Одна из самых ранних «умных» угроз по отношению к банкоматам, ставшая уже классической, — установка на них оборудования, фиксирующего данные банковской карты (информацию с магнитной полосы банковской карты и вводимый PIN-код) для последующего создания ее дубликата. Первые случаи скимминга были зафиксированы в Европе еще в 2005 году. В России бум этого вида мошенничества пришелся на 2013–2015 годы.

Популярность и массовость скимминга объясняется его относительной доступностью и простотой реализации. Купить скимминговое оборудование в Интернете может каждый, а процесс установки/снятия занимает не больше минуты.

Для считывания данных с магнитной полосы мошенники применяют специальные накладки со считывающей головкой и элементом питания, имитирующие внешний вид картридеров банкомата. Для фиксации ввода PIN-кодов используются скрытые видеокамеры либо фальшивые PIN-клавиатуры, устанавливаемые поверх штатных.

Для противодействия скиммингу применяют активные антискиммеры, устанавливаемые внутри банкоматов и терминалов. Специальное устройство создает радиопомехи в области щели картоприемника, препятствующие работе посторонних электронных устройств. В качестве дополнительной меры используются также пассивные антискимминговые накладки на щель картоприемника, физически препятствующие установке нештатного оборудования.

С первого июля 2015 года ЦБ обязал оте­чественные банки перейти на эмиссию только чиповых карт международного стандарта EMV. Благодаря предпринятым мерам к 2016 году Сбербанку удалось свести практически к нулю случаи компрометации собственных карт на территории нашей страны.

При этом в мировых масштабах крупнейшие потери от атак на банкоматы и терминалы до сих пор связаны именно со скиммингом. Поэтому клиентам наших банков рекомендуется быть внимательными, особенно в странах Азиатско-Тихоокеанского региона. Многие устройства самообслуживания в этих странах все еще работают только с магнитной полосой карты, а значит, потенциально подвержены установке нештатного оборудования. Это подтверждается статистикой EAST (European Association for Secure Transactions) — подавляющее большинство всех мошеннических операций по дубликатам карт в мире приходится на страны АТР. «Лидирующие» позиции тут занимают США и Индонезия.

Таким образом, многосторонний подход к борьбе со скиммингом — яркий пример того, что понимание действий преступника и продумывание эффективных контрмер позволяют успешно противостоять угрозе, даже такой стихийной, какой в свое время являлся скимминг.

ATM Malware

С точки зрения киберпреступника, банкомат — это в первую очередь полноценный компьютер, а значит, потенциальную уязвимость вредоносному коду можно использовать в целях несанкционированного получения денег.

Первая вредоносная программа, созданная специально для кражи денег из АТМ, появилась не так давно — в 2008 году. Этот троян с говорящим названием Skimer умел копировать данные с магнитной полосы карты, а также подавать команды на прямую выдачу наличности. Для его активации злоумышленнику необходимо было вставить в банкомат специальную карту с определенными данными, являющимися ключом доступа, и выбрать режим работы программы, например считывание данных с магнитной полосы. Специалисты в области кибербезопасности до сих пор фиксируют активность различных модификаций Skimer на некоторых банкоматах мира.

С самого момента появления новых денежных машин преступники рассматривали их как потенциальный объект наживы: сейф с деньгами, стоящий практически на улице, не мог остаться без их внимания

Настоящую славу вредоносные программы для банкоматов обрели с появлением печально известного трояна Tyupkin, чья первая активность была зафиксирована в 2014 году. С тех пор атакам подверглось множество банкоматов по всему миру, а совокупный ущерб банков составил сотни миллионов долларов.

В отличие от Skimer для активации Tyupkin не требуется карта. Злоумышленнику нужно ввести только сессионный ключ, случайно генерируемый для каждой сессии, после чего можно выбрать доступную кассету и подать команду на выдачу из нее 40 купюр. И так до тех пор, пока выбранная кассета не опустеет.

Услуги в массы

Если первые вредоносные программы для АТМ были прерогативой «умного грабителя», то на сегодняшний день они эволюционировали и стали доступны широким массам злоумышленников, не обладающим какими-то специальными знаниями.

В 2017 году киберпреступники стали продавать в даркнете услугу ATM Malware-as-a-service. За 5 тыс. долларов каждый может приобрести пакет из готовой к использованию вредоносной программы Cutlet Maker и видеоинструкции по краже денег из банкомата. Купившим услугу нужно выбрать подходящий банкомат, воспользоваться инструкцией по взлому его сервисной части, загрузить вредоносную программу на компьютер и заплатить организаторам сервиса за ее активацию, чтобы начать процесс выдачи денег. Подобные схемы снижают входной порог в этот вид преступлений и ведут к значительному увеличению количества киберпреступников.

Что это означает для банков?

Это стало настоящим тревожным сигналом для всех, кто пока не озаботился защитой собственной сети банкоматов от подобных угроз или уверен, что стандартные антивирусные средства способны обеспечить необходимую защиту.

Опираясь на собственный опыт, эксперты по кибербезопасности Сбербанка предупреждают, что использования традиционного антивирусного ПО недостаточно для противодействия банкоматным зловредам, а часто это просто неэффективно. В целях компенсации рисков и успешного отражения вирусных атак помимо средств антивирусного ПО необходимо применять средства Application & Device Control, работающие по принципу whitelisting / default deny («белые списки» и «всё запрещено, что явно не разрешено»).

Они создают доверенный слепок системы, запрещают запуск любого недоверенного кода и блокируют подключение неавторизованных внешних накопителей. Хотя подобные решения неприменимы на рабочих станциях, где состав ПО постоянно меняется, они отлично подходят для закрытых изолированных систем — таких, как банкоматы и информационно-платежные терминалы.

При этом программные продукты такого рода не будут работать сразу out of the box («из коробки»). Их нужно настраивать под свой парк устройств с учетом разнообразия аппаратно-программных конфигураций и уникального банковского ПО. Как и любой программный продукт, системы контроля целостности неидеальны, но при грамотном подходе и сопровождении доказывают свою эффективность.

Таргетированные атаки как бизнес

Развивая тему ATM Malware, нельзя не упомянуть «профессионалов» в области целевых атак на финансовые организации — хакерские группировки Anunak, Corkow, Buhtrap, Lurk, Lazarus, Metel, Cobalt.

В мировых масштабах крупнейшие потери от атак на банкоматы и терминалы до сих пор связаны именно со скиммингом

Последняя громко заявила о себе в июле 2016 года, когда атаке подвергся тайваньский First Bank. К банкомату подошел неизвестный в маске, сделал звонок по телефону, после чего банкомат начал выдавать деньги. Аналогичный сценарий одновременно произошел на нескольких банкоматах Банка, а ущерб превысил 2,5 млн долларов.

Тогда First Bank ощутил на себе всю мощь целенаправленной логической атаки. Киберпреступники посредством фишинговых рассылок проникли во внутреннюю сеть Банка и, используя инфраструктурные уязвимости, получили доступ к управлению банкоматами. Далее, по звонкам от подельников (те самые люди в масках) злоумышленники отправляли команду на выдачу денег из банкоматов. Все произошло без ведома служб Банка и каких-либо внешних следов воздействия на банкоматы.

Комплексной атаке — комплексное противодействие

Какие из этого можно сделать выводы? Защищенность любой сети определяется надежностью ее слабейшего звена. Логические атаки, подобные Cobalt, возможно выявлять и пресекать на самой ранней стадии, если анализировать и понимать, как и с помощью каких инструментов действуют киберпреступники.

Подготовка, сбор информации и сама многоэтапная логическая атака могут длиться месяцами, прежде чем будет нанесен финальный удар. Очень долго, и этим временем нельзя пренебрегать.

В Сбербанке функционирует собственный Security Operation Center (SOC), обеспечивающий непрерывный онлайн-мониторинг и реагирование на киберугрозы. SOC объединяет в себе подсистему аналитики угроз кибербезопасности (Threat Intelligence Platform), подсистему активной защиты (Active Defence) и подсистему реагирования на инциденты кибербезопасности (Incident Response Platform). Совокупность современных методов противодействия киберугрозам позволяет успешно выявлять и отражать атаки (в том числе и Cobalt) на их начальной стадии.

Вывести деньги через «черный ход»

Первые атаки BlackBox, или атаки методом прямого диспенса, были зафиксированы в 2013 году в Мексике. К 2016 году они стали одним из доминирующих видов логических атак на банкоматы в мире.

К шине передачи данных подключается внешнее устройство злоумышленника, через которое диспенсер получает команду на выдачу банкнот. Для доступа к шине злоумышленник вырезает кольцевым сверлом либо выжигает газовой горелкой отверстие в лицевой панели банкомата.

Для подачи команды на выдачу банкнот могут применяться как специализированные вредоносные программы, так и модифицированное диагностическое ПО, обычно штатно используемое при сервисном обслуживании банкомата.

По сути, при реализации BlackBox-атаки повторяется функционал ATM Malware, но меняется принцип его применения. Команда подается с внешнего устройства напрямую диспенсеру банкнот, в обход управляющего компьютера банкомата, а значит, ни whitelisting-системы с антивирусным ПО, ни шифрование жесткого диска в этом случае не помогут.

Как противостоять BlackBox-атакам?

Итак, злоумышленник подключается к шине передачи данных, разрывая соединение между диспенсером и управляющим компьютером банкомата. Значит, необходимо как-то это соединение защитить.

На сегодняшний день все ведущие производители банкоматов реализовали в своем базовом ПО XFS функционал dispenser encryption. Он обеспечивает шифрование шины передачи данных между диспенсером и управляющим компьютером, основанное на стойких криптографических алгоритмах. При активированном режиме шифрования команда на выдачу, поданная диспенсеру с неизвестного устройства, будет отклонена. Обновление ПО XFS до версий, поддерживающих программное шифрование, рекомендовано производителями банкоматов к обязательной установке.

Подготовка, сбор информации и сама многоэтапная логическая атака могут длиться месяцами, прежде чем будет нанесен финальный удар. И этим временем нельзя пренебрегать.

Кроме собственных решений производителей, реализованных на базе встроенного ПО XFS, на рынке представлены также аппаратно-программные средства, разработанные компаниями — производителями систем защиты для банкоматов. Такие устройства подключаются в разрез шины передачи данных между ПК и диспенсером банкнот, обеспечивая их взаимную аутентификацию и препятствуя подключению сторонних устройств.

Всем банкам рекомендуется проинвентаризировать состав собственного парка устройств самообслуживания — как по модельному ряду, так и по версионности эксплуатируемого ПО, провести анализ доступных средств защиты от BlackBox и при поддержке производителя внедрять их применительно к своей сети. Решения могут быть различные, в том числе дополняющие друг друга.

В итоге

Мы живем в эпоху, когда традиционных методов ИБ уже недостаточно. Происходит трансформация информационной безопасности в кибербезопасность. Сегодня нужно не только защищать некий ограниченный периметр, но продумывать, как обезопасить все киберпространство, выходящее далеко за пределы этого периметра.

Кибератаки развиваются и эволюционируют вслед за стремительным ростом технологий. Это неизбежный процесс. Биометрия, блокчейн, искусственный интеллект, нейронные сети — это ближайшее будущее банкинга. И для банков — это вызов. Интересный, сложный и ответственный.

Что касается банкоматов, то, несмотря на очевидный тренд в сторону «умных» преступлений, физические атаки все еще крайне популярны среди преступников и не собираются сдавать позиции. Средства endpoint-защиты являются последним рубежом, когда преступник уже внутри. Их использование обязательно для успешного предотвращения кибератак. Однако попытки атак можно и нужно пресекать еще до проникновения внутрь «коробки».

Именно поэтому для эффективного противодействия необходимо применять комплексный подход к обеспечению безо­пасности своей сети. Видеомониторинг зон установки банкоматов, охранные сигнализации, физическое усиление корпусов — все эти средства в сочетании с рассмотренными средствами киберзащиты многократно усиливают общий уровень защищенности и многократно сокращают желание злоумышленника атаковать именно ваши устройства.

Преступник пойдет по пути наименьшего сопротивления, и задача банков — создать максимум этого сопротивления.



Сейчас на главной