В разговоре с корреспондентом ComNews аналитик отдела аналитики информационной безопасности Positive Technologies Вадим Соловьев озвучил данные FinCERT, согласно которым в период с июня 2015 г. по май 2016 г. в России было зафиксировано 17 случаев, связанных с несанкционированным доступом к ПО банкомата и последующей попыткой хищения денежных средств. «При реализации атак злоумышленниками были совершены покушения на хищение денежных средств на общую сумму свыше 100 млн руб.», — добавил Вадим Соловьев.
Специалисты Positive Technologies в исследовании отметили, что количество логических атак на банкоматы с применением вредоносного ПО в Европе в 2016 г. выросло на 287% по сравнению с предыдущим годом. Так, ущерб от краж с использованием только одной вредоносной программы GreenDispenser в странах Восточной Европы в 2015—2016 гг. составил около $ 180 тыс.
Вадим Соловьев уточнил, что, по данным Positive Technologies, на сегодняшний день в РФ нет банкоматов, зараженных вредоносным ПО GreenDispencer. Однако схожее устройство банкоматов позволяет злоумышленникам использовать одно и то же вредоносное ПО в различных кампаниях по всему миру.
«Так, GreenDispenser, который применяли при атаках в 2015 г. на банкоматы в Мексике, через некоторое время был обнаружен в странах Восточной Европы в 2016 г. Таким образом, если в какой-то одной стране на сеть банкоматов была произведена атака со снятием наличных, это не значит, что такого не может случиться в любой другой. Более того, злоумышленникам удобнее переключаться на другие страны, так как пока в одном месте расследуют преступление и уже, возможно, разрабатывают способ противостояния данному типу атаки, их инструмент беспрепятственно работает в другом регионе, еще не готовом к отражению такой атаки», — рассказал Вадим Соловьев.
Эксперт пояснил, что выдачей наличных управляет специальный компьютер, установленный в сервисной зоне банкомата. Получить к нему доступ может сотрудник банка, обслуживающий банкоматы, или человек, имеющий опыт вскрытия замков с помощью отмычки.
Как показало расследование Positive Technologies, злоумышленники получали доступ в сервисную зону банкомата для установки GreenDispenser. После этого специальные люди — дропы — при помощи трояна снимали с банкомата деньги.
Эксперты Positive Technologies отметили, что подобные атаки могут принять массовый характер. При разработке финансовых приложений на платформе Microsoft Windows используется специальный стандарт Extension for Financial Services для совместимости ПО оборудования банкоматов с различными устройствами. Он применяется всеми крупными производителями банкоматов.
«Из-за сходства устройства банкоматов злоумышленники могут использовать одно и то же вредоносное ПО для атак на банкоматы по всему миру. В последнее время мы наблюдаем уже нескрываемый интерес у участников киберпреступных форумов к теме ATM, в том числе к технологиям, используемым в разработке троянов», — рассказал Вадим Соловьев.
В связи с этим специалисты PositiveTechnologies прогнозируют всплеск разработок новых вредоносных программ для атак на банкоматы и инфраструктуру управления банкоматами. «К слову, ущерб только от одной логической атаки на банкомат в Европе, по нашим оценкам, в среднем составляет $ 8434», — прокомментировал Вадим Соловьев.
В исследовании отмечается, что самая известная схема мошенничества, связанная с банкоматами, — это кража данных банковских карт с помощью скиммера (считывающее переносное устройство, которое может крепиться к банкомату) и создание на их основе дубликатов, с помощью которых злоумышленники затем снимают деньги со счетов клиентов банка.
По данным European ATM Security Team 15, в прошлом году инциденты, связанные с мошенническими операциями, составили 89% от общего числа инцидентов, в которых атаки злоумышленников были направлены на банкоматы. При этом доля от ущерба, нанесенного в результате этих инцидентов, составила 87%.
«Количество инцидентов, связанных с физическими атаками на банкоматы в Европе, в 2016 г. выросло на 12% по сравнению с 2015 г. и составило 11% от общего числа инцидентов, связанных с банкоматами», — отметили специалисты Positive Technologies, добавив, что такое количество физических атак на банкоматы достигнуто в основном из-за роста инцидентов, связанных с подрывом банкоматов (на 47%). Этот метод также получил широкое распространение в России в 2016 г.
«Все это в совокупности с зафиксированным в конце 2016 г. ростом интереса участников специализированных сообществ к стандартам и системным библиотекам, которые используются в ПО банкоматов, может свидетельствовать о готовящейся или текущей разработке нового вредоносного ПО, которое будет использоваться как в атаках с непосредственным доступом к банкоматам, так и в целевых атаках на инфраструктуру банков с удаленным управлением банкоматами», — предсказывают специалисты Positive Technologies.
Эксперты считают, что если уровень защищенности банкоматов останется на прежнем уровне, то, исходя из результатов, полученных в ходе исследования, они прогнозируют увеличение количества атак на банкоматы с помощью вредоносного ПО в России на 30% уже в ближайшие несколько лет.
«Если смотреть на ситуацию по рынку, то количество таких инцидентов сильно варьируется во времени. И связано как с технологиями, так и со сформированными группировками, осуществляющими кражи. Из известного мне серьезных всплесков нет. Да и отчет Positive Technologies, как мне кажется, не содержит сравнений с предыдущими годами не случайно», — заметил директор по информационной безопасности банка «Открытие» Вячеслав Касимов.
На взгляд Вячеслава Касимова, отсутствие яркого тренда сохранится и будут всплески на десятки инцидентов с последующими затишьями. «Это если большая часть банков оставят ситуацию в текущем состоянии и не начнут защищать банкоматы. Если же пойдут по пути, аналогичному нашему, то атаки на банкоматы, скорее всего, перестанут быть для злоумышленников рентабельными», — добавил он.
В пресс-службе ВТБ отметили, что попытки взламывать ПО банкоматов стали действительно осуществляться чаще. «По нашим оценкам, их количество будет расти и в дальнейшем», — сказал представитель банка. Он добавил, что ВТБ проводит комплекс мер, направленных как на защиту самих банкоматов, так и информационной инфраструктуры в целом. Они включают регулярное прохождение сертификации по требованиям платежных систем, привлечение экспертных организаций для проведения аудита защищенности информационных систем и многие другие.
«Согласно ожиданиям Accenture, в 2020 г. количество банкоматов увеличится до 3,5 млн, и у мошенников будет еще больше возможностей для атак», — заметил директор департамента исследования угроз компании Avast Михаил Салат. По его словам, еще одной причиной растущего числа атак является вредоносное ПО и тот факт, что киберпреступники могут удаленно взламывать банкоматы — еще 10−15 лет назад это было невозможно.
Михаил Салат отметил, что существует множество способов для предотвращения вредоносных атак в банкоматах — например, список разрешенных приложений для запуска на банкомате. «Это предотвращает запуск вредоносных или неизвестных программ и защищает от потенциальных угроз. Банки также могут устанавливать датчики, которые будут предупреждать как о попытках физического вмешательства в машину, так и подозрительной активности в сети банкоматов», — сказал Михаил Салат. Кроме того, добавил он, банки должны регулярно проверять конфигурацию операционных систем банкоматов и использовать надежное шифрование. Еще одним инструментом является использование собственной закрытой операционной системы в своих банкоматах.
В Eset отмечают рост количества таргетированных атак на финансовый сектор в целом с 2015 г. «В 2017 г. прогнозируем 50%-ный рост количества атак, а также увеличение ущерба пострадавших организаций», — подчеркнул руководитель отдела поддержки продаж Eset Russia Виталий Земских. Он отметил, что атаки на банки и, в частности, банкоматы будут продолжаться ровно до тех пор, пока прибыль от успешной операции покрывает затраты на ее реализацию.
В этой связи эксперт Eset рекомендует банкам внедрять специализированные продукты информационной безопасности (ИБ) с привлечением стороннего подрядчика, чтобы исключить появление случайных или спланированных уязвимостей в защите.
«Второй рубеж — безопасность изолированной сети банкоматов. Необходимы как программные, так и физические средства защиты. Стоит отказаться от доставки обновлений и любых файлов с сервера администрирования, которые потенциально могут запустить вредоносный код», — рассказал Виталий Земских. Наконец, добавил он, снизить риски позволит доступ ИТ и ИБ-специалистов к информационным сервисам, актуальным данным о новейших угрозах, а также обучение сотрудников и своевременное обновление ПО.
Руководитель проектов по информационной безопасности компании «Крок» (ЗАО «КРОК инкорпорейтед») Павел Луцик также добавил, что в прошлом году количество атак на банкоматы действительно существенно увеличилось. «Это обусловлено в том числе и тем, что, в отличие от физического взлома, атаки на банкоматы позволяют снимать наличность сразу с нескольких банкоматов одновременно», — заметил эксперт «Крока».
Павел Луцик добавил, что это связано и с рядом тенденций: во-первых, хакерские группировки постепенно перепрофилируются с физических и юридических лиц на финансовые организации, что выражается в атаках на финансовые системы и системы межбанковских взаимодействий (SWIFT).
Во-вторых, в Интернете растет количество готовых инструментов для хакерских атак. При этом эти инструменты стоят не так дорого, а иногда и вовсе бесплатны. Именно поэтому подавляющее большинство атак, которые произошли в прошлом году, были практически идентичны.
В-третьих, за последнее время финансовые организации подверглись большому количеству DDoS-атак. Центральный банк РФ даже заподозрил несколько банков в организации атак на самих себя, для того чтобы скрыть следы преступлений.
И наконец, увеличилось количество атак на клиентов банков с помощью мобильных троянов. Это связано со снижением количества троянов для персональных компьютеров (ПК).
Финансовый аналитик группы компаний «Финам» Леонид Делицын рассказал, что финансовые потери от вредоносных атак на ПО банкоматов сами по себе не могут стать крупными, поскольку для большого ущерба нужны армии «кэш-мулов», которые синхронно снимали бы деньги в банкоматах, прежде чем сотрудники службы безопасности обнаруживали бы атаку. Банки используют лимит на снятие наличности в банкомате, поэтому снять большую сумму нельзя очень быстро.