Днями компанія «Доктор Веб» повідомила про виявлення нової троянської програми Trojan.Skimer.18, створеної спеціально для зараження банкоматів і крадіжки даних пластикових карт. Ми розбиралися, як йдуть справи із захистом банкоматів від шкідливих програм.
колекція вірусів
Для власника картки банкомат - особа банку. Якщо потрібно терміново зняти або внести готівку, а найближчий банкомат не працює, це засмучує клієнта. Такі інциденти особливо неприємні для вітчизняних власників: тягати з собою готівку люблять не всі, а карти до оплати у нас приймають далеко не скрізь. Насправді це не найстрашніше. На жаль, навіть цілком «здоровий» на вигляд апарат може виявитися не другом, а самим справжнім ворогом.
Карти, гроші, троянці
Опинившись в банкоматі, спеціально написаний троянець може виконувати безліч різноманітних дій. Але основні його функції - зчитування даних магнітної стрічки пластикової карти (такий собі скімінг без скімера) і пряме «видоювання» банкомату шляхом подачі на диспенсер фальшивої команди на видачу банкнот. Деякі троянці вміють і то, і то, некоториечто щось одне. Для кардера різниця між цими двома способами заробітку полягає в тому, що крадіжка грошей з грошових касет виявиться при першій же після зараження інкасації, а зчитувати чужі карти троянець може дуже довго - можливо, навіть весь термін служби банкомату.
Троянець, що влаштувався в банкоматі, надходить дуже просто: підміняє собою програму, що відповідає за спілкування з користувачем. Він виводить точно таку ж картинку, точно так же запитує у власника картки її ПІН, але працює з клавіатурою в незахищеному режимі. Таким чином він і отримує всю необхідну інформацію про карту: вміст її магнітної доріжки та ПІН-код.
Управління та контроль
Троянець, опинившись в системі банкомату, має вельми обмежений набір способів зв'язку із зовнішнім світом. Незважаючи на те, що обмін даними з процессингом йде по відкритих каналах (провідної мережі або 3G-зв'язку), ніякої доступ в Інтернет з банкомату неможливий. За це відповідає спеціальна апаратура, яка підтримує зашифрований канал зв'язку з процессингом і більше ні з чим.
вектори зараження
Банкомат - апарат дисциплінований, фішингові посилання не відкриває, по підозрілим сайтам не ходить, і навіть заражену флешку в нього не увіткнеш. В якійсь мірі це захищає його від небезпеки підчепити зловреда, але ж і кардери не ликом шиті. Правда, в даному випадку їх методи позбавлені витонченості: банкомат заражає співробітник банку, підкуплений або заляканий злочинцями.
Самий нехитрий спосіб зараження починається з псування банкомату (наприклад, щілину зчитувача забивають папером). Приїхав на виклик інженера підтримки підкуповують прямо на місці (ризику ніякого, не погодився - їдемо до іншого банкомату). У інженера є ключ, що дозволяє відкрити верхню частину банкомату і отримати доступ до його начинці. Інкасаторського ключа, що відкриває сейф з грошовими касетами, у нього немає, але він і не потрібен - якщо треба, заражений банкомат добровільно віддасть всі гроші через диспенсер банкнот.
Другий спосіб ще простіше: розбещенні валиться співробітник процесингового центру, який може віддалено встановлювати на банкомати оновлення програмного забезпечення. Правда, всі дії такого роду система веде протокол, і уникнути відповідальності в таких випадках нелегко.
Самим технічним методом є розтин банкомату без ключа. Більшість банкоматів забезпечені датчиками розтину, що подають сигнал службі безпеки. Але кардери призвичаїлися акуратно висвердлюють отвори в тонких місцях корпусу і діяти через них. На даний момент зафіксовано лише внутрішні підключення скімерів через такі отвори, але так можна отримати доступ і до USB-портів. Багато банкомати працюють під управлінням Windows XP, в якій замовчуванням включений автозапуск програм з зовнішніх накопичувачів. Якщо виробник банкомату не подбав про спеціальні заходи захисту, заражена флешка може заразити систему.
Захистити банкомат, безумовно, можна. Існують базові рекомендації щодо забезпечення безпеки банкоматів, які, правда, необов'язкові до виконання для банків. Виробники пропонують банкам безліч варіантів поставки - можна замовити банкомат в мінімальній комплектації, що буде дешевше, можна вибрати повний набір захисних засобів.
Наша компанія, наприклад, вже кілька років встановлює на банкомати Diebold не тільки спеціалізовану захищену версію Windows, але і спеціально розроблену модель материнської плати з технологією Trusted Boot і кодуванням всіх комунікацій. Крім того, ми безкоштовно встановлюємо на банкомати систему Symantec Firewall Endpoint Protection, яка дозволяє контролювати цілісність ПО, мережевий доступ, а також включає в себе антивірус і захист від шпигунських програм ».
Крім апаратних засобів захисту, для банкоматів випускаються антивіруси, здатні визначити зараження, якщо оновсе-таки відбулося. Їх ефективність обмежена через те, що автоматичне оновлення їх вірусних баз неможливо - це роблять лише співробітники банків, які можуть і знехтувати цими рекомендаціями.
Системи зразок Solidcore для Aptra, що поставляються компанією NCR, діють інакше (не виключаючи, але доповнюючи антивірусне ПЗ). Суть їх роботи полягає в контролі за діями запущених програм. Жодне додаток, що не міститься в заданому списку, на такому банкоматі не запуститься, а якщо запуститься - не отримає доступ ні до зчитувача карт, ні до диспенсеру, ні до клавіатури.
На жаль, власник картки ніяк не може ні захиститися, ні визначити наявність на банкоматі шкідливої програми. При цьому багато банків прагнуть до максимальної економії на своїй банкоматній мережі і нехтують засобами захисту від троянських програм. Втім, є надія на певні зрушення в цьому напрямку: в світлі прийдешніх змін в законі про національну платіжну систему, що передбачають відшкодування грошей клієнтам, які стали жертвами шахрайських операцій, банкам така безпечність може обійтися досить дорого.